Le serveur hébergeant le service de distribution de stratégies ZENworks® Endpoint Security Management doit toujours être accessible aux utilisateurs, qu'ils se trouvent au sein du réseau ou à l'extérieur, dans la zone démilitarisée. Assurez-vous que les logiciels requis sont installés sur le serveur avant l'installation (reportez-vous à la section Configuration système requise). Après avoir sélectionné le serveur, notez son nom, tant le nom NETBIOS que le nom de domaine complet.
Le déploiement du service de distribution de stratégies sur un contrôleur de domaine primaire n'est pas pris en charge pour des raisons de sécurité et de fonctionnalité.
REMARQUE :Il est recommandé de configurer (durcir) le serveur SSI de manière à désactiver les applications, services, comptes et autres options qui ne sont pas nécessaires à la finalité prévue du serveur. La procédure à suivre pour ce faire varie selon les spécificités de l'environnement local et ne peut donc pas être décrite au préalable. Les administrateurs sont invités à consulter la section appropriée de la page Web de sécurité Microsoft Technet. D'autres recommandations concernant le contrôle d'accès sont fournies dans le Guide d'administration de ZENworks Endpoint Security Management.
Afin de limiter l'accès aux seules machines approuvées, le répertoire virtuel et IIS peuvent être configurés pour utiliser des listes de contrôle d'accès (ACL). Reportez-vous aux articles ci-dessous :
Pour des raisons de sécurité, il est vivement recommandé de supprimer les dossiers par défaut suivants de toute installation IIS :
IISHelp
IISAdmin
Scripts
Printers
Nous vous recommandons également d'utiliser IIS Lockdown Tool 2.1, disponible sur microsoft.com.
La version 2.1 de cet outil repose sur des modèles fournis pour les principaux produits Microsoft basés dépendant de IIS. Sélectionnez le modèle qui correspond le mieux au rôle de ce serveur. En cas de doute, le modèle de serveur Dynamic Web est recommandé.
Assurez-vous que les exigences suivantes sont satisfaites avant de commencer l'installation :
Vérifiez la résolution de nom de serveur entre le service de gestion et le service de distribution de stratégies : vérifiez que l'ordinateur cible sur lequel le service de gestion est installé peut exécuter une commande ping sur le nom de serveur du service de distribution (NETBIOS si le service de distribution est configuré à l'intérieur du pare-feu du réseau, nom de domaine complet s'il est installé à l'extérieur, dans la zone démilitarisée).
Si la résolution aboutit, il s'agit du nom de serveur à spécifier pendant l'installation. En cas d'échec, vous devez résoudre ce problème avant de poursuivre l'installation.
Pour la résolution de nom de serveur entre Endpoint Security Client et le service de distribution, vérifiez que les clients du noeud d'extrémité (où est installé Endpoint Security Client) peuvent exécuter une commande ping sur le nom de serveur du service de distribution utilisé ci-dessus. En cas d'échec, vous devez résoudre ce problème avant de poursuivre l'installation.
Activez ou installez Microsoft Internet Information Services (IIS), assurez-vous qu'ASP.NET est activé et configurez-le pour qu'il accepte les certificats SSL (Secure Socket Layer).
IMPORTANT :Ne cochez pas la case sur la page Communications sécurisées (dans l'utilitaire Microsoft Gestion de l'ordinateur, développez > > > cliquez avec le bouton droit de la souris sur > cliquez sur > cliquez sur l'onglet > cliquez sur le bouton dans la zone de groupe Communications sécurisées). L'activation de cette option interrompt la communication entre le serveur ZENworks Endpoint Security Management et le client ZENworks Endpoint Security sur le noeud d'extrémité.
Si vous utilisez vos propres certificats SSL, assurez-vous que le certificat de service Web est chargé sur la machine et que le nom de serveur validé aux étapes précédentes (NETBIOS ou nom de domaine complet) correspond à la valeur du certificat configuré dans IIS.
Si vous utilisez vos propres certificats SSL, validez le SSL du serveur du service de gestion vers le serveur du service de distribution : ouvrez un navigateur Web sur le service de gestion et entrez l'URL suivante : https://NOMDS (où NOMDS correspond au nom du serveur du service de distribution). Cette opération devrait renvoyer des données valides et non des alertes de certificat (des données valides peuvent être du type « Page en construction »). Toute alerte de certificat doit être résolue avant l'installation, à moins que vous ne choisissiez d'utiliser des certificats Novell auto-signés.
Assurez l'accès à un RDBMS pris en charge (Microsoft SQL Server 2000 SP4, SQL Server Standard, SQL Server Enterprise, SQL Server 2005). Définissez la base de données en mode mixte. Cette base de données doit être hébergée sur le serveur du service de gestion ou sur un serveur partagé sécurisé derrière le pare-feu de l'entreprise.