La instalación en un único servidor (SSI) de ZENworks® Endpoint Security Management permite la coexistencia del Servicio de distribución de directivas y el Servicio de gestión en el mismo servidor, lo que no es posible si no se utiliza esta opción de instalación. Por motivos de seguridad, el servidor debe implantarse dentro del cortafuegos para que los usuarios reciban las actualizaciones de directivas cuando se encuentren dentro de la infraestructura corporativa o estén conectados a ella mediante una VPN.
La implantación de la instalación en un único servidor en un controlador de dominio primario (PDC) no se admite por motivos de seguridad y funcionalidad.
NOTA:Se recomienda configurar (reforzar) el servidor de SSI para que desactive todas las aplicaciones, los servicios, las cuentas y las demás opciones que no sean necesarias para la funcionalidad del servidor que se desea usar. Los pasos relacionados con esta tarea dependen de las características específicas del entorno local, por lo que no se pueden describir de antemano. Se recomienda a los administradores que consulten la sección adecuada de la página Web de seguridad de Microsoft Technet. En Guía de administración de ZENworks Endpoint Security Management, se proporcionan recomendaciones adicionales para el control de acceso.
Para restringir el acceso sólo a los equipos de confianza, el directorio virtual e IIS se pueden configurar para que dispongan de ACL. Consulte los artículos siguientes:
Por motivos de seguridad, se recomienda encarecidamente eliminar las siguientes carpetas por defecto de la instalación de IIS:
IISHelp
IISAdmin
Guiones
Printers
También es aconsejable utilizar IIS Lockdown Tool 2.1, disponible en microsoft.com.
La versión 2.1 está controlada por las plantillas proporcionadas para los principales productos de Microsoft que dependen de IIS. Seleccione la plantilla que coincida en mayor medida con la función de este servidor. En caso de duda, se recomienda utilizar la plantilla dinámica del servidor Web.
Antes de empezar la instalación, asegúrese de que se cumplan los siguientes requisitos:
Asegúrese de que dispone de acceso a un Servicio de directorio admitido (eDirectory™, Active Directory o los dominios NT). Los dominios NT se admiten sólo cuando un Servicio de servidor único se instala en Microsoft Windows 2000 Advanced Server (SP4).
Si realiza la implantación con el servicio eDirectory, asegúrese de que Novell Client™ se haya instalado en el servidor y pueda autenticarse correctamente en eDirectory. Cree una contraseña de cuenta no modificable para utilizarla en la autenticación de la consola de gestión (consulte Sección 7.2.1, Adición de servicios de eDirectory).
Para la resolución del nombre del servidor único para Endpoint Security Client, asegúrese de que los equipos de destino (en los que se instalará Endpoint Security Client) puedan hacer "ping" en el nombre del servidor de SSI. De lo contrario, debe solucionar este problema antes de continuar con la instalación. (Cambie el nombre del servidor de SSI por el nombre FQDN/NETBIOS, modifique AD para que utilice el nombre FQDN/NETBIOS, cambie las configuraciones de DNS modificando el archivo de host local en los equipos de destino para que incluya la información de MS correcta, etc.).
Habilite o instale los Servicios de Internet Information Server (IIS) de Microsoft y configúrelos para que acepten los certificados SSL (enlace de zócalo seguro).
IMPORTANTE:No habilite el recuadro de verificación
en la página Comunicaciones seguras (en la utilidad Administración de equipos de Microsoft, expanda > > , a continuación, expanda también > haga clic con el botón derecho en > haga clic en > a continuación, en la pestaña > y, por último, en el botón en el recuadro del grupo de Comunicaciones seguras). Al habilitar esta opción, se interrumpe la comunicación entre el servidor de ZENworks Endpoint Security Management y el cliente de ZENworks Endpoint Security en el puesto final.Si utiliza sus propios certificados SSL, asegúrese de que el certificado del servicio Web y la CA raíz se hayan cargado en el equipo y de que el nombre del servidor validado en los pasos anteriores (independientemente de que sea NETBIOS o FQDN) coincida con el valor de
del certificado configurado en IIS.Si utiliza sus propios certificados o ya ha instalado el certificado autofirmado de Novell, puede validar también SSL introduciendo la siguiente URL en el equipo en el que se instalará Endpoint Security Client: https://SSI_SERVER_NAME/AuthenticationServer/UserService.asmx (donde SSI_SERVER_NAME es el nombre del servidor). Esta acción debería devolver datos válidos (una página html) y no advertencias sobre los certificados. Todas las advertencias sobre los certificados deben solucionarse antes de realizar la instalación, a menos que decida usar certificados autofirmados de Novell en su lugar.
Asegúrese de que dispone de acceso a un RDBMS admitido (Microsoft SQL Server 2000 SP4, SQL Server Standard o SQL Server Enterprise). Defina la base de datos en el modo Mixto.