L'installation monoserveur (SSI) ZENworks Endpoint Security Management permet la coexistence du service de distribution de stratégies et du service de gestion sur le même serveur, ce qui n'est pas possible sans cette option d'installation. Pour des raisons de sécurité, le serveur doit être déployé à l'intérieur du pare-feu, nécessitant ainsi que les utilisateurs reçoivent les mises à jour des stratégies uniquement lorsqu'ils se trouvent au sein de l'infrastructure de l'entreprise ou qu'ils y sont connectés via un VPN.
Le déploiement de l'installation monoserveur sur un contrôleur de domaine primaire n'est pas pris en charge pour des raisons à la fois de sécurité et de fonctionnalité.
REMARQUE :Il est recommandé de configurer (durcir) le serveur SSI de manière à désactiver les applications, services, comptes et autres options qui ne sont pas nécessaires à la finalité prévue du serveur. La procédure à suivre pour ce faire varie selon les spécificités de l'environnement local et ne peut donc pas être décrite au préalable. Les administrateurs sont invités à consulter la section appropriée de la page Web de sécurité Microsoft Technet. D'autres recommandations concernant le contrôle d'accès sont fournies dans le Guide d'administration de ZENworks Endpoint Security Management.
Afin de limiter l'accès aux seules machines approuvées, le répertoire virtuel et IIS peuvent être configurés pour utiliser des listes de contrôle d'accès (ACL). Reportez-vous aux articles ci-dessous :
Pour des raisons de sécurité, il est vivement recommandé de supprimer les dossiers par défaut suivants de toute installation IIS :
IISHelp
IISAdmin
Scripts
Printers
Nous vous recommandons également d'utiliser IIS Lockdown Tool 2.1, disponible sur microsoft.com.
La version 2.1 de cet outil repose sur des modèles fournis pour les principaux produits Microsoft basés dépendant de IIS. Sélectionnez le modèle qui correspond le mieux au rôle de ce serveur. En cas de doute, le modèle de serveur Dynamic Web est recommandé.
Assurez-vous que les exigences suivantes sont satisfaites avant de commencer l'installation :
Assurez l'accès à un service Annuaire pris en charge (eDirectory, Active Directory ou NT Domains). NT Domains est uniquement pris en charge lorsque Singer Server Service est installé sur un serveur Microsoft Windows 2000 Advanced Server (SP4).
Si vous effectuez le déploiement à l'aide d'un service eDirectory, assurez-vous que Novell Client™ est installé sur le serveur et peut s'authentifier correctement auprès de eDirectory. Créez un mot de passe de compte qui ne changera jamais pour l'authentification à la console de gestion (reportez-vous à la Section 7.2.1, Ajout de services eDirectory).
Pour la résolution de nom de serveur entre Endpoint Security Client et le monoserveur, vérifiez que les ordinateurs cibles (où est installé Endpoint Security Client) peuvent exécuter une commande ping sur le nom de serveur SSI. En cas d'échec, vous devez résoudre ce problème avant de poursuivre l'installation. (Changez le nom de serveur SSI en nom de domaine complet/NETBIOS, changez AD pour utiliser le nom de domaine complet/NETBIOS, changez les configurations DNS en modifiant le fichier hôte local sur les ordinateurs cibles de manière à inclure les informations correctes du service de gestion, etc.)
Activez ou installez Microsoft Internet Information Services (IIS) et configurez-les de manière à accepter les certificats SSL (Secure Socket Layer).
IMPORTANT :Ne cochez pas la case sur la page Communications sécurisées (dans l'utilitaire Microsoft Gestion de l'ordinateur, développez > > > cliquez avec le bouton droit de la souris sur > cliquez sur > cliquez sur l'onglet > cliquez sur le bouton dans la zone de groupe Communications sécurisées). L'activation de cette option interrompt la communication entre le serveur ZENworks Endpoint Security Management et le client ZENworks Endpoint Security sur le noeud d'extrémité.
Si vous utilisez vos propres certificats SSL, assurez-vous que le certificat de service Web et l'autorité de certification racine sont chargés sur la machine et que le nom de serveur validé aux étapes précédentes (NETBIOS ou nom de domaine complet) correspond à la valeur du certificat configuré dans IIS.
Si vous utilisez vos propres certificats ou avez déjà installé le certificat auto-signé Novell, vous pouvez également valider SSL en essayant l'URL suivante à partir d'une machine sur laquelle Endpoint Security Client est installé : https://NOM_SERVEUR_SSI/AuthenticationServer/UserService.asmx (où NOM_SERVEUR_SSI est le nom du serveur). Cette opération devrait renvoyer des données valides (une page html) et non des alertes de certificat. Toute alerte de certificat doit être résolue avant l'installation, à moins que vous ne choisissiez d'utiliser des certificats Novell auto-signés.
Assurez l'accès à un RDBMS pris en charge (Microsoft SQL Server 2000 SP4, SQL Server Standard, SQL Server Enterprise). Définissez la base de données en mode mixte.