A SSI (Single Server Installation - Instalação de Servidor Único) do ZENworks® Endpoint Security Management permite que o Serviço de Distribuição de Política e o Serviço de Gerenciamento coexistam no mesmo servidor, o que não é possível sem o uso dessa opção de instalação. Por motivos de segurança, o servidor deve ser distribuído dentro do firewall; os usuários só deverão receber atualizações de política quando estiverem dentro da infra-estrutura corporativa ou conectados por uma VPN.
A implantação da Instalação de Servidor Único em um PDC (Primary Domain Controller - Controlador de Domínio Primário) não é suportada por razões de segurança e funcionalidade.
NOTA:É recomendado que o Servidor SSI seja configurado (reforçado) para desativar todos os aplicativos, serviços, contas e outras opções desnecessárias para a funcionalidade destinada do servidor. As etapas envolvidas dependem das especificações do ambiente local e, portanto, não podem ser descritas antecipadamente. Os administradores são avisados para consultar a seção apropriada da página da Web de segurança Microsoft TechNet. Recomendações adicionais de controle de acesso são fornecidas no Guia de Administração do ZENworks Endpoint Security Management.
Para restringir o acesso a máquinas confiáveis, configure o diretório virtual e o IIS para ter ACLs. Consulte os artigos a seguir:
Por motivos de segurança, é altamente recomendável que as seguintes pastas padrão sejam removidas de qualquer instalação do IIS:
IISHelp
IISAdmin
Scripts
Impressoras
Também recomendamos o uso da ferramenta IIS Lockdown Tool 2.1 disponível em microsoft.com.
A versão 2.1 é orientada por gabaritos fornecidos para os principais produtos Microsoft dependentes do IIS. Selecione o gabarito que melhor corresponda à função deste servidor. Em caso de dúvida, o gabarito de servidor Web Dinâmico é recomendado.
Antes de iniciar a instalação, verifique se os seguintes pré-requisitos são atendidos:
Verifique se há acesso a um serviço de diretório suportado (eDirectory™, Active Directory ou Domínios NT). Domínios NT só são suportados quando o Serviço de Servidor Único está instalado em um Microsoft Windows 2000 Advanced Server (SP4).
Se estiver realizando a implantação com um serviço eDirectory, verifique se o Novell Client™ está instalado no servidor e se pode autenticar corretamente no eDirectory. Crie uma senha de conta que nunca mude para usar na autenticação do Console de Gerenciamento. (Consulte a Seção 7.2.1, Adicionando serviços do eDirectory.)
Para a resolução de nome de servidor do Endpoint Security Client para Servidor Único, verifique se os computadores de destino (em que o Endpoint Security Client está instalado) podem realizar ping no nome do servidor SSI. Se não obtiver êxito, você deverá resolver isso antes de continuar com a instalação. (Mude o nome do servidor SSI para FQDN/NETBIOS, mude AD para usar FQDN/NETBIOS, mude as configurações de DNS, modificando o arquivo host local nos computadores de destino para incluir as informações de MS corretas, etc.)
Habilite ou instale o IIS (Serviços de Informações da Internet) da Microsoft e configure-o para aceitar Certificados SSL (Secure Socket Layer).
IMPORTANTE:Não marque a caixa de seleção na página Comunicações de Segurança. (No utilitário Gerenciamento do Computador da Microsoft, expanda > expanda > expanda > clique o botão direito do mouse em > clique em > clique na guia > clique no botão na caixa de grupo Comunicações de segurança.) A habilitação dessa opção interrompe a comunicação entre o servidor e o cliente ZENworks Endpoint Security Management no ponto de extremidade.
Se estiver usando seus próprios certificados SSL, verifique se o certificado de serviço Web e a CA raiz estão carregados na máquina e se o nome do servidor validado nas etapas anteriores (NETBIOS ou FQDN) corresponde ao valor do certificado configurado no IIS.
Se estiver usando seus próprios certificados ou se já tiver instalado o Certificado Auto-assinado da Novell, você também poderá validar o SSL experimentando o seguinte URL em uma máquina que tenha o Endpoint Security Client instalado:https://NOME_DO_SERVIDOR_SSI/AuthenticationServer/UserService.asmx (onde NOME_DO_SERVIDOR_SSI é o nome do servidor). Isso retornará dados válidos (uma página html), e não avisos de certificado. Todos os avisos de certificado devem ser resolvidos antes da instalação, a menos que você opte por usar Certificados Auto-assinados da Novell.
Verifique o acesso a um RDBMS (Microsoft SQL Server 2000 SP4, SQL Server Standard, SQL Server Enterprise) suportado. Defina o banco de dados para o modo Misto.