El Servicio de gestión debe instalarse en un servidor seguro detrás de un cortafuegos y no puede compartir el mismo servidor que el Servicio de distribución de directivas (excepto en la instalación en un único servidor; consulte Sección 3.0, Instalación en un único servidor). Por motivos de seguridad, el Servicio de gestión no debe instalarse fuera del cortafuegos de red. Tras seleccionar el servidor, anote su nombre: tanto el nombre de dominio completo (FQDN) como NETBIOS. La implantación del Servicio de gestión en un controlador de dominio primario (PDC) no se admite por motivos de seguridad y funcionalidad.
NOTA:Se recomienda configurar (reforzar) el servidor de SSI para que desactive todas las aplicaciones, los servicios, las cuentas y las demás opciones que no sean necesarias para la funcionalidad del servidor que se desea usar. Los pasos relacionados con esta tarea dependen de las características específicas del entorno local, por lo que no se pueden describir de antemano. Se recomienda a los administradores que consulten la sección adecuada de la página Web de seguridad de Microsoft Technet. En la Guía de administración de ZENworks Endpoint Security Management, se proporcionan recomendaciones adicionales para el control de acceso.
Para restringir el acceso sólo a los equipos de confianza, el directorio virtual e IIS se pueden configurar para que dispongan de ACL. Consulte los artículos siguientes:
Por motivos de seguridad, se recomienda encarecidamente eliminar las siguientes carpetas por defecto de la instalación de IIS:
IISHelp
IISAdmin
Guiones
Printers
También es aconsejable utilizar IIS Lockdown Tool 2.1, disponible en microsoft.com.
La versión 2.1 está controlada por las plantillas proporcionadas para los principales productos de Microsoft que dependen de IIS. Seleccione la plantilla que coincida en mayor medida con la función de este servidor. En caso de duda, se recomienda utilizar la plantilla dinámica del servidor Web.
Antes de empezar la instalación, asegúrese de que se cumplan los siguientes requisitos:
Asegúrese de que dispone de acceso a un servicio de directorio admitido (eDirectory, Active Directory o los dominios NT*). *= Sólo se admite cuando el Servicio de gestión se ha instalado en Microsoft Windows 2000 Advanced Server (SP4).
Si realiza la implantación con el Servicio eDirectory™, asegúrese de que Novell Client™ se haya instalado en el servidor y pueda autenticarse correctamente en eDirectory. Cree una contraseña de cuenta no modificable para utilizarla en la autenticación de la consola de gestión (consulte Sección 7.2.1, Adición de servicios de eDirectory).
Para garantizar la resolución del nombre del servidor de Endpoint Security Client en MS, compruebe que los equipos de destino (en los que Endpoint Security Client está instalado) puedan hacer "ping" en el nombre del servidor de MS. Si se realiza correctamente, éste será el valor que se introduzca en la instalación. De lo contrario, debe solucionar este problema antes de continuar con la instalación.
Habilite o instale los Servicios de Internet Information Server (IIS) de Microsoft, asegúrese de que ASP.NET esté habilitado y configúrelo para que acepte certificados SSL (enlace de zócalo seguro).
IMPORTANTE:No habilite el recuadro de verificación en la página Comunicaciones seguras (en la utilidad Administración de equipos de Microsoft, expanda > > , a continuación, expanda también > haga clic con el botón derecho en > haga clic en > a continuación, en la pestaña > y, por último, en el botón en el recuadro del grupo de Comunicaciones seguras). Al habilitar esta opción, se interrumpe la comunicación entre el servidor de ZENworks Endpoint Security Management y el cliente de ZENworks Endpoint Security en el puesto final.
Si utiliza sus propios certificados SSL, asegúrese de que la CA raíz se haya cargado en el equipo y de que el nombre del servidor validado en los pasos anteriores (independientemente de que sea NETBIOS o FQDN) coincida con el valor de del certificado configurado en IIS.
Si utiliza sus propios certificados o ya ha instalado el certificado autofirmado de Novell, puede validar también SSL introduciendo la siguiente URL en el equipo en el que se instalará Endpoint Security Client: https://MS_SERVER_NAME/AuthenticationServer/UserService.asmx (donde MS_SERVER_NAME es el nombre del servidor). Esta acción debería devolver datos válidos (una página html) y no advertencias sobre los certificados. Cualquier advertencia sobre los certificados debe solucionarse antes de realizar la instalación.
Asegúrese de que dispone de acceso a un RDBMS admitido (Microsoft SQL Server 2000 SP4, SQL Server Standard, SQL Server Enterprise o SQL 2005). Defina la base de datos en el modo mixto.
Copie el directorio de los archivos de configuración de ESM, que contiene el Id. de configuración y el certificado raíz de SSL del Servicio de distribución de directivas, en el directorio de instalación de este servidor.