O servidor que está hospedando o Serviço de Distribuição de Política do ZENworks® Endpoint Security Management deve estar sempre acessível aos usuários, seja pela rede ou externamente na DMZ. Antes da instalação, verifique se o software necessário está instalado no servidor. (Consulte Requisitos do sistema.) Após selecionar o servidor, anote o nome do servidor, tanto o NETBIOS quanto o FQDN (nome completo do domínio).
A implantação do Serviço de Distribuição de Política em um PDC (Primary Domain Controller - Controlador de Domínio Primário) não é suportada por razões de segurança e funcionalidade.
NOTA:É recomendado que o Servidor SSI seja configurado (reforçado) para desativar todos os aplicativos, serviços, contas e outras opções desnecessárias para a funcionalidade destinada do servidor. As etapas envolvidas dependem das especificações do ambiente local e, portanto, não podem ser descritas antecipadamente. Os administradores são avisados para consultar a seção apropriada da página da Web de segurança Microsoft TechNet. Recomendações adicionais de controle de acesso são fornecidas no Guia de Administração do ZENworks Endpoint Security Management.
Para restringir o acesso a máquinas confiáveis, configure o diretório virtual e o IIS para ter ACLs. Consulte os artigos a seguir:
Por motivos de segurança, é altamente recomendável que as seguintes pastas padrão sejam removidas de qualquer instalação do IIS:
IISHelp
IISAdmin
Scripts
Impressoras
Também recomendamos o uso da ferramenta IIS Lockdown Tool 2.1 disponível em microsoft.com.
A versão 2.1 é orientada por gabaritos fornecidos para os principais produtos Microsoft dependentes do IIS. Selecione o gabarito que melhor corresponda à função deste servidor. Em caso de dúvida, o gabarito de servidor Web Dinâmico é recomendado.
Verifique os seguintes pré-requisitos antes de iniciar a instalação:
Verifique a resolução de nome do servidor MS (Serviço de Gerenciamento) para DS (Serviço de Distribuição de Política): confirme se o computador de destino em que o MS está instalado pode realizar ping no nome do servidor DS (NETBIOS se o DS for configurado dentro do firewall de rede ou FQDN se for instalado fora, na DMZ).
Se você obtiver êxito, esse será o nome do servidor a ser inserido durante a instalação. Se não obtiver êxito, você deverá solucionar esse problema antes de continuar com a instalação.
Verifique a resolução de nome do servidor Endpoint Security Client para DS: confirme se os clientes de pontos de extremidade (onde o Endpoint Security Client está instalado) podem realizar ping no mesmo nome de servidor DS usado anteriormente. Se não obtiver êxito, você deverá solucionar esse problema antes de continuar com a instalação.
Habilite ou instale o IIS (Serviços de Informações da Internet) da Microsoft, verifique se o ASP.NET está habilitado e configure-o para aceitar Certificados SSL (Secure Socket Layer).
IMPORTANTE:Não marque a caixa de seleção na página Comunicações de Segurança. (No utilitário Gerenciamento do Computador da Microsoft, expanda > expanda > expanda > clique o botão direito do mouse em > clique em > clique na guia > clique no botão na caixa de grupo Comunicações de segurança.) A habilitação dessa opção interrompe a comunicação entre o servidor e o cliente ZENworks Endpoint Security Management no ponto de extremidade.
Se estiver usando seus próprios certificados SSL, verifique se o certificado de serviço Web está carregado na máquina e se o nome do servidor validado nas etapas anteriores (NETBIOS ou FQDN) corresponde ao valor do certificado configurado no IIS.
Se estiver usando seus próprios certificados SSL, valide o SSL do servidor MS para o servidor DS: abra um browser da Web no Serviço de Gerenciamento e digite o seguinte URL: https://NOMEDS (onde NOMEDS é o nome de servidor do DS). Isso retornará dados válidos, e não avisos de certificado (dados válidos podem ser "Página em Construção"). Todos os avisos de certificado devem ser resolvidos antes da instalação, a menos que você opte por usar Certificados Auto-assinados da Novell.
Verifique o acesso a um RDBMS (Microsoft SQL Server 2000 SP4, SQL Server Standard, SQL Server Enterprise, SQL Server 2005) suportado. Defina o banco de dados para o modo Misto. Esse banco de dados deve estar hospedado no servidor Serviço de Gerenciamento ou em um servidor compartilhado protegido pelo firewall da empresa.