Le service de gestion doit être installé sur un serveur sécurisé derrière le pare-feu et ne peut pas partager le même serveur que le service de distribution de stratégies (à l'exception d'une installation monoserveur, reportez-vous au Section 3.0, Installation monoserveur). Pour des raisons de sécurité, le service de gestion ne peut pas être installé en dehors du pare-feu du réseau. Après avoir sélectionné le serveur, notez son nom, tant le nom NETBIOS que le nom de domaine complet. Le déploiement du service de gestion sur un contrôleur de domaine primaire n'est pas pris en charge pour des raisons de sécurité et de fonctionnalité.
REMARQUE :Il est recommandé de configurer (durcir) le serveur SSI de manière à désactiver les applications, services, comptes et autres options qui ne sont pas nécessaires à la finalité prévue du serveur. La procédure à suivre pour ce faire varie selon les spécificités de l'environnement local et ne peut donc pas être décrite au préalable. Les administrateurs sont invités à consulter la section appropriée de la page Web de sécurité Microsoft Technet. D'autres recommandations concernant le contrôle d'accès sont fournies dans le Guide d'administration de ZENworks Endpoint Security Management.
Afin de limiter l'accès aux seules machines approuvées, le répertoire virtuel et IIS peuvent être configurés pour utiliser des listes de contrôle d'accès (ACL). Reportez-vous aux articles ci-dessous :
Pour des raisons de sécurité, il est vivement recommandé de supprimer les dossiers par défaut suivants de toute installation IIS :
IISHelp
IISAdmin
Scripts
Printers
Nous vous recommandons également d'utiliser IIS Lockdown Tool 2.1, disponible sur microsoft.com.
La version 2.1 de cet outil repose sur des modèles fournis pour les principaux produits Microsoft basés dépendant de IIS. Sélectionnez le modèle qui correspond le mieux au rôle de ce serveur. En cas de doute, le modèle de serveur Dynamic Web est recommandé.
Assurez-vous que les exigences suivantes sont satisfaites avant de commencer l'installation :
Assurez l'accès à un service Annuaire pris en charge (eDirectory, Active Directory ou NT Domains*). * = Uniquement pris en charge lorsque le service de gestion est installé sur un serveur Microsoft Windows 2000 Advanced Server (SP4).
Si vous effectuez le déploiement à l'aide d'un service eDirectory™, assurez-vous que le client Novell™ est installé sur le serveur et peut s'authentifier correctement auprès de eDirectory. Créez un mot de passe de compte qui ne changera jamais pour l'authentification à la console de gestion (reportez-vous à la Section 7.2.1, Ajout de services eDirectory).
Pour la résolution de nom de serveur entre Endpoint Security Client et le service de gestion, vérifiez que les ordinateurs cibles (où est installé Endpoint Security Client) peuvent exécuter une commande ping sur le nom de serveur du service de gestion. Si cela fonctionne, il s'agit de la valeur entrée lors de l'installation. En cas d'échec, vous devez résoudre ce problème avant de poursuivre l'installation.
Activez ou installez Microsoft Internet Information Services (IIS), assurez-vous qu'ASP.NET est activé et configurez-le pour qu'il accepte les certificats SSL (Secure Socket Layer).
IMPORTANT :Ne cochez pas la case sur la page Communications sécurisées (dans l'utilitaire Microsoft Gestion de l'ordinateur, développez > > > cliquez avec le bouton droit de la souris sur > cliquez sur > cliquez sur l'onglet > cliquez sur le bouton dans la zone de groupe Communications sécurisées). L'activation de cette option interrompt la communication entre le serveur ZENworks Endpoint Security Management et le client ZENworks Endpoint Security sur le noeud d'extrémité.
Si vous utilisez vos propres certificats SSL, assurez-vous que l'autorité de certification racine est chargée sur la machine et que le nom de serveur validé aux étapes précédentes (NETBIOS ou nom de domaine complet) correspond à la valeur du certificat configuré dans IIS.
Si vous utilisez vos propres certificats ou avez déjà installé le certificat auto-signé Novell, vous pouvez également valider SSL en essayant l'URL suivante à partir d'une machine sur laquelle Endpoint Security Client est installé : https://NOM_SERVEUR_SERVICE DE GESTION/AuthenticationServer/UserService.asmx (où NOM_SERVEUR_SERVICE DE GESTION est le nom du serveur). Cette opération devrait renvoyer des données valides (une page html) et non des alertes de certificat. Toute alerte de certificat doit être résolue avant l'installation.
Assurez l'accès à un RDBMS pris en charge (Microsoft SQL Server 2000 SP4, SQL Server Standard, SQL Server Enterprise, SQL 2005). Définissez la base de données en mode mixte.
Copiez dans le répertoire d'installation de ce serveur le répertoire Fichiers d'installation de ESM qui contient l'ID d'installation et le certificat SSL racine du service de distribution de stratégies.