Il server che ospita il servizio di distribuzione norme di ZENworks® Endpoint Security Management deve essere sempre raggiungibile dagli utenti, sia all'interno della rete che all'esterno nella DMZ. Prima dell'installazione (vedere Requisiti di sistema), accertarsi che il software necessario sia installato sul server. Dopo aver selezionato il server, annotarne il nome, sia il nome NETBIOS che FQDN (Nome di dominio completo).
Per motivi di sicurezza e di funzionalità, la distribuzione del servizio di distribuzione norme su un controller PDC (controller di dominio primario) non è supportata.
NOTA:È consigliabile che il server SSI venga configurato (consolidato) in modo da disattivare tutte le applicazioni, i servizi, gli account e le altre opzioni non necessarie alla funzionalità designata del server. La procedura utilizzata dipende dalle specifiche dell'ambiente locale, pertanto non è possibile descriverla in anticipo. Si consiglia agli amministratori di consultare la sezione appropriata della pagina Web sulla sicurezza di Microsoft Technet. Ulteriori raccomandazioni relative al controllo dell'accesso sono disponibili nella Guida dell'amministratore di ZENworks Endpoint Security Management.
Per garantire un accesso protetto esclusivamente a computer attendibili, è possibile impostare la directory virtuale e IIS in modo da includere elenchi ACL. Fare riferimento agli articoli riportati di seguito:
Per motivi di sicurezza, si raccomanda di rimuovere da qualsiasi installazione IIS le seguenti cartelle di default:
IISHelp
IISAdmin
Script
Stampanti
Si consiglia inoltre di utilizzare IIS Lockdown Tool 2.1, disponibile sul sito microsoft.com.
La versione 2.1 è controllata da modelli forniti per i principali prodotti Microsoft dipendenti da IIS. Selezionare il modello maggiormente corrispondente al ruolo di questo server. In caso di dubbi, si consiglia il modello di server Web dinamico.
Verificare i prerequisiti riportati di seguito prima di iniziare l'installazione:
Garantire la risoluzione dei nomi server dal servizio di gestione (MS) al servizio di distribuzione norme (DS): accertarsi che il computer di destinazione in cui viene installato MS sia in grado di eseguire il "ping" del nome server DS (NETBIOS se il servizio di distribuzione è configurato nel firewall di rete, FQDN se invece è installato all'esterno, nella DMZ).
Se l'operazione riesce, questo sarà il nome server da immettere durante l'installazione. Se l'operazione non riesce, sarà necessario risolvere il problema prima di proseguire con l'installazione.
Assicurarsi che avvenga la risoluzione dei nomi server da Endpoint Security Client a DS: verificare che i client degli endpoint (in cui è installato Endpoint Security Client) siano in grado di eseguire il ping dello stesso nome server DS utilizzato in precedenza. Se l'operazione non riesce, sarà necessario risolvere il problema prima di proseguire con l'installazione.
Abilitare o installare i servizi IIS (Internet Information Services) di Microsoft, accertarsi che ASP.NET sia abilitato e configurarlo per accettare i certificati SSL (Secure Socket Layer).
IMPORTANTE:Non selezionare la casella di controllo nella pagina Comunicazioni protette (nell'utility Gestione computer Microsoft espandere > espandere > espandere > fare clic con il pulsante destro del mouse su > fare clic su > fare clic sulla scheda > fare clic sul pulsante nella casella di gruppo Comunicazioni protette). La selezione di questa opzione interrompe la comunicazione tra il server e il client ZENworks Endpoint Security Management sull'endpoint.
Se si utilizzano certificati SSL propri, accertarsi che il certificato del servizio Web sia caricato sul computer e che il nome server convalidato nella procedura precedente (NETBIOS o FQDN) corrisponda al valore relativo al certificato configurato in IIS.
Se vengono utilizzati certificati SSL propri, convalidare l'SSL dal server MS al server DS: aprire un browser Web sul servizio di gestione e immettere il seguente URL: https://NOMEDS (dove NOMEDS è il nome server del DS). Questa operazione dovrebbe restituire dati validi e non avvisi di certificati (ad esempio, "Pagina in costruzione" può essere considerato valido). Tutti gli avvisi di certificato devono essere risolti prima dell'installazione, a meno che non si decida di utilizzare i certificati Novell firmati da se stessi.
Assicurare l'accesso a un RDBMS supportato (Microsoft SQL Server 2000 SP4, SQL Server Standard, SQL Server Enterprise e SQL Server 2005). Impostare il database sulla modalità mista. Questo database deve essere ospitato sul server del servizio gestione oppure su un server condiviso posizionato dietro il firewall aziendale.