O Serviço de Gerenciamento deve ser instalado em um servidor protegido pelo firewall e não pode compartilhar o mesmo servidor que o Serviço de Distribuição de Política (com a exceção de uma instalação de servidor único, consulte o Seção 3.0, Executando uma instalação de Servidor Único). Por motivos de segurança, o Serviço de Gerenciamento não deve ser instalado fora do firewall da rede. Após selecionar o servidor, anote o nome do servidor, tanto o NETBIOS quanto o FQDN (nome completo do domínio). A implantação do Serviço de Gerenciamento em um PDC (Primary Domain Controller - Controlador de Domínio Primário) não é suportada por razões de segurança e funcionalidade.
NOTA:É recomendado que o Servidor SSI seja configurado (reforçado) para desativar todos os aplicativos, serviços, contas e outras opções desnecessárias para a funcionalidade destinada do servidor. As etapas envolvidas dependem das especificações do ambiente local e, portanto, não podem ser descritas antecipadamente. Os administradores são avisados para consultar a seção apropriada da página da Web de segurança Microsoft TechNet. Recomendações adicionais de controle de acesso são fornecidas no Guia de Administração do ZENworks Endpoint Security Management.
Para restringir o acesso a máquinas confiáveis, configure o diretório virtual e o IIS para ter ACLs. Consulte os artigos a seguir:
Por motivos de segurança, é altamente recomendável que as seguintes pastas padrão sejam removidas de qualquer instalação do IIS:
IISHelp
IISAdmin
Scripts
Impressoras
Também recomendamos o uso da ferramenta IIS Lockdown Tool 2.1 disponível em microsoft.com.
A versão 2.1 é orientada por gabaritos fornecidos para os principais produtos Microsoft dependentes do IIS. Selecione o gabarito que melhor corresponda à função deste servidor. Em caso de dúvida, o gabarito de servidor Web Dinâmico é recomendado.
Antes de iniciar a instalação, verifique se os seguintes pré-requisitos são atendidos:
Verifique o acesso a um serviço de diretório suportado (eDirectory, Active Directory ou Domínios NT*). * = Suportado somente quando o Serviço de Gerenciamento é instalado em um servidor Microsoft Windows 2000 Advanced (SP4).
Se estiver realizando a implantação com um serviço eDirectory™, verifique se o Novell Client™ está instalado no servidor e se pode autenticar corretamente no eDirectory. Crie uma senha de conta que nunca mude para usar na autenticação do Console de Gerenciamento. (Consulte a Seção 7.2.1, Adicionando serviços do eDirectory.)
Verifique a resolução de nome de servidor Endpoint Security Client para MS: confirme se os computadores de destino (onde o Endpoint Security Client está instalado) podem realizar ping no nome do servidor MS. Se você obtiver êxito, esse será o valor inserido na instalação. Se não obtiver êxito, você deverá resolver isso antes de continuar com a instalação.
Habilite ou instale o IIS (Serviços de Informações da Internet) da Microsoft, verifique se o ASP.NET está habilitado e configure-o para aceitar Certificados SSL (Secure Socket Layer).
IMPORTANTE:Não marque a caixa de seleção na página Comunicações de Segurança. (No utilitário Gerenciamento do Computador da Microsoft, expanda > expanda > expanda > clique o botão direito do mouse em > clique em > clique na guia > clique no botão na caixa de grupo Comunicações de segurança.) A habilitação dessa opção interrompe a comunicação entre o servidor e o cliente ZENworks Endpoint Security Management no ponto de extremidade.
Se estiver usando seus próprios certificados SSL, verifique se a CA raiz está carregada na máquina e se o nome do servidor validado nas etapas anteriores (NETBIOS ou FQDN) corresponde ao valor do certificado configurado no IIS.
Se estiver usando seus próprios certificados ou se já tiver instalado o Certificado Auto-assinado da Novell, você também poderá validar o SSL experimentando o seguinte URL em uma máquina que tenha o Endpoint Security Client instalado:https://NOME_DO_SERVIDOR_MS/AuthenticationServer/UserService.asmx (onde NOME_DO_SERVIDOR_MS é o nome do servidor). Isso retornará dados válidos (uma página html), e não avisos de certificado. Todos os avisos de certificado devem ser resolvidos antes da instalação.
Verifique o acesso a um RDBMS (Microsoft SQL Server 2000 SP4, SQL Server Standard, SQL Server Enterprise, SQL 2005) suportado. Defina o banco de dados para o modo Misto.
Copie o diretório ESM Setup Files que contém o ID de Instalação do Serviço de Distribuição de Política e o Certificado SSL Raiz para o Serviço de Distribuição de Política no diretório de instalação desse servidor.