「管理服務」必須安裝在防火牆後的安全伺服器上,且無法與「規則配送服務」使用相同的伺服器 (「單一伺服器」安裝則例外,請參閱 節 3.0, 執行單一伺服器安裝)。基於安全性考量,「管理服務」不應安裝在網路防火牆之外。在選取伺服器之後,請注意伺服器名稱,包括 NETBIOS 和完整網域名稱 (FQDN)。基於安全性和功能性的原因,您無法將「管理服務」 部署在主要領域控制器 (PDC) 上。
附註:我們建議您在設定 (強化) SSI 伺服器時,停用所有的應用程式、服務、帳戶以及伺服器功能性所不需要的其他選項。執行此作業的步驟將視本機環境而定,因此無法預先說明。我們建議管理員參閱 Microsoft Technet 安全性網頁中適合的區段。《ZENworks Endpoint Security Management 管理指南》還提供其他的存取控制建議。
若要保護僅存取受信任的機器,可將虛擬目錄和 IIS 設定為具有 ACL。請參考以下文章:
基於安全性考量,我們強烈建議您在任何的 IIS 安裝中移除以下預設資料夾:
IISHelp
IISAdmin
Scripts
Printers
我們也建議您使用 microsoft.com 提供的 IIS Lockdown Tool 2.1。
2.1 版是由各大適用 IIS 相關 Microsoft 產品的範本所驅動。請選取最符合此伺服器角色的範本。如果您不確定,建議您使用動態 Web 伺服器範本。
在開始進行安裝「之前」,請確定已完成以下必要條件:
確認可存取已支援的目錄服務 (eDirectory、Active Directory 或 NT Domains*)。* = 只有當「管理服務」安裝在 Microsoft Windows 2000 Advanced Server (SP4) 上時才支援。
如果您使用 eDirectory™ 服務進行部署,請確定 Novell Client™ 已安裝在伺服器上,並可正確驗證至 eDirectory。請建立不會變更的帳戶密碼,可以供「管理主控台」驗證時使用 (請參閱 節 7.2.1, 新增 eDirectory 服務)。
確定 Endpoint Security Client 至 MS 伺服器名稱解析:驗證目標電腦 (已安裝 Endpoint Security Client) 可 Ping MS 伺服器名稱。若能成功,這將會是在安裝中輸入的值。若不成功,則您必須在繼續進行安裝之前先將問題解決。
啟用或安裝 Microsoft Internet Information Services (IIS),確定您已啟用 ASP.NET,並將其設定為接受保全插槽層 (SSL) 證書。
重要:請勿在「安全通訊」頁面選取「」核取方塊 (在「Microsoft 電腦管理」公用程式中,展開「」>展開「」> 展開「」> 以滑鼠右鍵按一下「」> 按一下「」> 按一下「」索引標籤 > 按一下「安全通訊」群組方塊中的「」按鈕)。 選取此選項會中斷 ZENworks Endpoint Security Management 伺服器與端點上之 ZENworks Endpoint Security 用戶端之間的通訊。
如果您使用自己的 SSL 證書,請確定您已將根 CA 載入機器,且在之前步驟中驗證的伺服器名稱 (無論是 NETBIOS 或 FQDN) 符合在 IIS 中設定之證書的「」值。
如果您使用自己的證書,或者已安裝 Novell 自我簽署證書,您也可以在已安裝 Endpoint Security Client 的機器中嘗試使用以下 URL 來驗證 SSL:https://MS_SERVER_NAME/AuthenticationServer/UserService.asmx (其中 MS_SERVER_NAME為伺服器名稱)。這將會傳回有效的資料 (html 頁面),而不是證書警告。任何的證書警告都必須在安裝之前解決。
確定可存取支援的 RDBMS (Microsoft SQL Server 2000 SP4、SQL Server Standard、SQL Server Enterprise、SQL 2005)。將資料庫設為「混合」模式。
將包含「規則配送服務」安裝 ID 和「規則配送服務」根 SSL 證書的 ESM Setup Files 目錄複製至此伺服器的安裝目錄。