ZENworks® Endpoint Security Managementのポリシー配布サービスをホストするサーバは、ユーザがネットワークの内部にいる場合でもDMZの外部にいる場合でもアクセスできなければなりません。インストールの前に、必要なソフトウェアがサーバにインストールされていることを確認してください(システム要件を参照)。サーバを選択したら、サーバの名前(NETBIOSと完全修飾ドメイン名(FQDN)の両方)をメモします。
セキュリティ上および機能上の理由から、プライマリドメインコントローラ(PDC)にポリシー配布サービスを展開することはできません。
メモ:サーバの目的の機能には必要ないすべてのアプリケーション、サービス、アカウント、および他のオプションが無効になるように、SSIサーバを設定(強化)することをお勧めします。このための手順はローカル環境の仕様によって異なるため、前もって説明しておくことはできません。管理者は、Microsoft TechnetセキュリティセンターのWebページの該当するセクションを参照することをお勧めします。アクセス制御に関するその他の推奨事項は、『ZENworks Endpoint Security Management管理ガイド』に記載されています。
信頼されたマシンに対するアクセスのみを保護するために、仮想ディレクトリおよびIISにACLを設定できます。次の記事を参照してください。
セキュリティ上の理由から、次のデフォルトのフォルダをIISのインストールから削除することを強くお勧めします。
IISHelp
IISAdmin
スクリプト
プリンタ
microsoft.comで入手可能なIIS Lockdown Tool 2.1を使用することもお勧めします。
バージョン2.1は、IISに依存する主要なマイクロソフト製品用に提供されたテンプレートによって駆動されます。このサーバの役割に最も厳密に適合したテンプレートを選択してください。どれが適切かわからない場合は、Dynamic Webサーバテンプレートを使用することをお勧めします。
インストールを開始する前に、次の前提条件を確認してください。
管理サービス(MS)によるポリシー配布サービス(DS)サーバ名の解決の確認: MSのインストール先コンピュータがDSサーバ名に対してpingを実行できることを確認します(DSサーバ名は、DSがネットワークファイアウォール内に設定される場合はNETBIOS、ファイアウォール外部のDMZにインストールされる場合はFQDNになります)。
pingに正しい応答があった場合は、その名前がインストール時に入力されるサーバ名になります。pingに応答がない場合は、インストールを続行する前にこの問題を解決する必要があります。
Endpoint Security ClientによるDSサーバ名の解決の確認: Endpoint Security Clientのインストール先のエンドポイントクライアントが、上記で使用されたものと同じDSサーバ名に対してpingを実行できることを確認します。pingに応答がない場合は、インストールを続行する前にこの問題を解決する必要があります。
Microsoftインターネットインフォメーションサービス(IIS)を有効にするかインストールして、ASP.NETを有効にし、Secure Socket Layer(SSL)証明書を受諾するように設定します。
重要:[セキュリティで保護された通信]ページの[]チェックボックスは有効にしないでください(Microsoftコンピュータの管理ユーティリティで、[]>[]>[]の順に展開し、[]を右クリックし、[]>[]タブ>[セキュリティで保護された通信]グループボックスの[]ボタンの順にクリックします)。 このオプションを有効にすると、Zenworks Endpoint Security Managementサーバとエンドポイント上のZenworks Endpoint Security Clientとの通信が切断されます。
独自のSSL証明書を使用している場合は、「Webサービス」証明書がマシンにロードされていることと、前の手順で確認済みのサーバ名(NETBIOSまたはFQDN)が、IISで設定されている証明書の「Issued to」値に一致していることを確認します。
独自のSSL証明書を使用している場合は、MSサーバからDSサーバへのSSLを確認してください。このためには、管理サービスでWebブラウザを開き、URLとして「https://DSNAME」(DSNAMEはDSのサーバ名)と入力します。これにより、証明書警告ではなく有効なデータが返されます(有効なデータが「Page under Construction (このページは現在作成中です)」である場合もあります)。証明書警告が返された場合は、インストールの前に解決する必要があります。ただし、Novell自己署名証明書を使用する場合を除きます。
サポートされているRDBMS(Microsoft SQL Server 2000 SP4、SQL Server Standard、SQL Server Enterprise、SQL Server 2005)にアクセスできるようにします。データベースを混合モードに設定します。このデータベースは、管理サービスサーバ、または企業のファイアウォールの背後で保護されている共有サーバでホストする必要があります。