【IT168 专稿】本部分提供在单或双服务器拓扑上安装 Client Security 以及将 Client Security 部署到客户端计算机所需的步骤。在单服务器拓扑中，所有角色和数据库都安装在一台服务器上；双服务器拓扑将“分发服务器”角色分配在现有的 WSUS 服务器上。

　　下面总结了主要安装步骤；后续各部分将完整描述每个步骤。

　　1.准备安装 FCS 组件

　　2.安装必备软件

　　3.安装和配置 Client Security

　　4.将 Client Security 部署到客户端计算机

　　3.1 准备安装 FCS 组件

　　在开始 FCS 安装过程前，请验证所有系统都满足 1.1.1 部分列出的最低硬件要求。还要确保 1.1.2 部分列出的所有软件组件的所有安装文件和媒体都可用。

　　验证所有客户端系统都已加入域，并且已基于每个客户端将分配的 FCS 策略被分配到适当的组织单位或安全组。

　　按照 2.1.1 部分验证所有相应的服务帐户都已创建完成。

　　确保已打开 Client Security 代理与 Client Security 服务器通信所需要的所有网络协议和服务端口。对于当前版本的 Client Security，建议在安装期间禁用服务器上的防火墙。

　　如果手动或通过 SMS（或其它软件部署工具）部署客户端代理，FCS 操作唯一所需的端口为：

　　◆1270 TCP（入站和出站） – MOM 代理通信

　　◆80 TCP（出站） – WSUS 服务器通信

　　◆443 TCP（出站） – Microsoft Update 通信（如果启用了“回退到 MU”）

　　注意

　　在单服务器配置中，如果客户端要访问 MOM 报告服务，则需要端口 8530 TCP（出站）。

　　对于其它部署情境，建议在客户端安装期间禁用防火墙。

　　必须在所有服务器和客户端计算机上使用本地管理员权限登录，才能安装和部署 Forefront Client Security。

　　3.2 安装必备软件

　　3.2.1操作系统和操作系统先决条件

　　安装 Windows 2003 操作系统和所有关键的安全和计算机更新。作为更新的一部分，确保您拥有 Windows Update Agent 2.0 或更新版本。Windows Update Agent 在您从微软下载更新时自动将自身更新到最新版本。还要确保服务器上安装了 Installer v3.1。

　　3.2.2Forefront 先决条件

　　在服务器上安装 FCS 组件之前，安装以下组件：

　　◆Microsoft 管理控制台 (MMC) 3.0。MMC 3.0 自动随 Windows Server 2003 R2 一起安装。如果未安装，您可以从以下地址下载它：http://go.microsoft.com/fwlink/?LinkId=7741

　　◆带 SP1 的组策略管理控制台 (GPMC)。您可以从以下地址下载带 SP1 的 GPMC：http://go.microsoft.com/fwlink/?LinkId=77421

　　◆使用以下步骤安装 IIS、ASP.NET 和 FrontPage 服务器扩展：

　　1.单击“开始”，指向“管理工具”，然后单击“管理您的服务器”。

　　2.在“管理您的服务器”窗口中，单击“添加或删除角色”。

　　3.在“配置您的服务器”向导中，单击“下一步”。

　　4.在下一页上，单击“应用程序服务器”（IIS、ASP.NET），然后单击“下一步”。

　　5.在下一页上，同时选中“FrontPage 服务器扩展”复选框和“ASP.NET”复选框，然后完成该向导。

　　3.2.3数据库安装

　　安装 SQL Server 2005 Standard Edition。若要安装 SQL Server 2005 的新实例，请将 SQL Server 2005 分发媒体介质插入服务器的 DVD 驱动器，并运行 Setup 以执行 SQL Server 2005 安装向导。在安装 SQL Server 2005 时，请使用以下设置：

　　◆安装数据库服务、报告服务和工作站组件（在“要安装的组件”页上，选中以下复选框：“SQL Server 数据库服务”、“报告服务”和“工作站组件”）。

　　◆使用默认而不是命名的 SQL Server 实例（在安装向导的“实例名称”页上，选择“默认实例”）。

　　◆使用您在 2.1.1 部分中配置的用户帐户作为服务帐户（在向导的“服务帐户”页上，单击“域用户帐户”）。

　　◆让 SQL Server Agent 服务自动启动（在“服务帐户”页上，在“安装结束时启动服务”下面，选中“SQL Server 代理”复选框）。

　　建议在安装 SQL Server 2005 时使用 Windows 身份验证作为安全模式。Windows 身份验证模式要比混合模式安全得多。（在“身份验证模式”页上，选择“Windows 身份验证”。）

　　注意

　　如果选择使用现有的 SQL Server 实例，要确保服务器上不存在 OnePoint 和 SystemCenterReporting 数据库。

　　在 SQL Server 安装完成后，请下载并安装 SQL Server 2005 的最新版服务包。在本文撰写之际，SP1 是最新的服务包。可以从以下地址获得它：http://go.microsoft.com/fwlink/?LinkId=77417

　　根据需要配置其它设置，然后验证该安装。有关更多信息，请访问以下地址：http://msdn2.microsoft.com/en-US/library/ms143773.aspx

3.2.4 验证管理、收集、报告服务器安装

　　若要验证 SQL Server 2005 服务的成功安装

　　3.2.5 WSUS 服务器

　　WSUS 服务器安装是安装 Forefront Client Security 应用程序前的最后一个先决条件。如果您将使用现有的 WSUS 安装作为 FCS 分发服务器，您可以跳过本部分。

　　安装并配置带 SP1 的 Windows Server Update Services 2.0 (WSUS 2.0)。FCS 需要 SP1 才能将该服务器用于分发角色。若要安装带 SP1 的 WSUS：

　　1.从以下地址下载并安装带 SP1 的 WSUS 2.0：http://go.microsoft.com/fwlink/?LinkId=77418

　　2.在“Windows Server Update Services”页上，单击“安装 Windows Server Updates Services”。

　　3.在“文件下载 – 安全警告”对话框中，单击“运行”。

　　4.在“Microsoft Windows Server Update Services 安装向导”的第一页上，单击“下一步”。

　　5.在“许可协议”页上，如果您接受许可协议，请单击“我接受”，然后单击“下一步”。您必须接受许可协议才能完成安装。

　　6.在“选择更新源”页上，验证“本地存储更新”复选框已选中，然后单击“下一步”。

　　7.在“数据库选项”页上，选择使用现有的 SQL Server 实例，在“连接到 SQL Server 实例”页上单击“下一步”。

　　8.在“网站选择”页上，选择“创建 Microsoft Windows Server Update Services 网站”。

　　注意

　　此选项导致 WSUS 使用端口 8530，在同时安装了 Client Security 的服务器上使用 WSUS 时，推荐使用此端口而不是使用默认 WSUS 端口 80。

　　9.在同一页上，记下“WSUS 管理 URL”和“客户端配置 URL”（稍后将需要此信息），然后单击“下一步”。

　　10.在“镜像更新设置”页上，验证“此服务器应该继承设置”复选框未选中，然后单击“下一步”。

　　11.在“安装准备就绪”页上，单击“安装”。

　　12.在向导的最后一页上，单击“完成”。

　　3.2.5.1 验证 WSUS 安装

 

　　3.2.5.2 WSUS 配置和同步

　　执行以下 WSUS 配置步骤：

　　1.在“Windows Server Update Services”主页上，单击“选项”，单击“自动批准选项”，然后选中“使用以下规则自动批准更新安装”复选框。

　　2.单击“保存设置”。

　　在安装 Client Security 之前，必须同步 WSUS 以下载该类别。在大多数情况下，这会在前几分钟内完成，在此之后，您可以停止同步并在稍后重新启动（在已安装 Client Security 之后）。若要强制同步：

　　1.在“Windows Server Update Services”主页上，单击“从同步服务器开始”

　　2.在“同步选项”页上，单击“立即同步”。

　　注意

　　第一次同步 WSUS 服务器可能要花几个小时。

　　如果在使用代理服务器进行 Internet 访问，您必须在安装 WSUS 后为其指定代理服务器设置。有关配置代理服务器设置的更多信息，请参见以下文章：http://go.microsoft.com/fwlink/?LinkId=59858

　　3.3安装和配置 Client Security

　　强烈建议使用下面所示的确切步骤安装和配置 Client Security：

　　3.3.1Forefront 服务器安装

　　1.运行服务器安装向导并输入以下参数：

　　2.在“角色安装”页上，选中除“分发服务器”角色以外的所有角色复选框（如果您不打算使用现有的 WSUS 服务器作为 FCS 分发服务器）。

　　3.在“收集角色设置”页上，输入以下信息：在“MOM 管理服务器”框中，输入收集服务器的名称（当前计算机）。对于 MOM 管理组，您可以使用默认名称 (ForefrontClientSecurity) 或输入新名称。（名称不能包含空格。）对于“MOM DAS 帐户”，请输入您在 2.1.1 部分中设置的域用户帐户。

　　4.在“操作数据库”页上，输入以下信息：在“MOM 数据库”框中，输入收集数据库服务器的名称（当前计算机），并根据需要输入 SQL Server 实例名称。输入适当的收集数据库大小。（如果指定的数据库大小超过可用磁盘空间，安装将会失败。）

　　5.在“报告数据库”页上，输入以下信息：在“MOM 报告服务器”框中，输入报告服务器的名称（当前计算机）。输入适当的报告数据库大小。对于“MOM DTS 帐户”，请输入您在 2.1.1 部分中设置的域用户帐户。

　　6.在“报告服务器”页上，输入 MOM 报告服务器的位置（管理、收集和报告服务器），指定是否希望对报告服务器使用默认 URL，以及指定是否希望使用 SSL 来连接到报告服务器。

　　7.执行安装并确保所有 FCS 安装先决条件都显示为绿色的。

　　8.继续安装并确保所有 FCS 组件都安装正确。

　　注意

　　在某些情况下，安装过程中可能显示“报告导入失败”错误。可以忽略此错误，它不会负面影响 FCS 操作。

　　3.3.2现有 WSUS 服务器上的分发服务器安装

　　这些步骤是可选的。如果不是将现有 WSUS 服务器用于 FCS 分发服务器角色，您可以跳过本部分。

　　9.在 WSUS 服务器上运行“服务器安装”向导。

　　10.在“角色安装”页上，选中“分发服务器”角色复选框。

　　11.执行安装并确保它成功完成。

　　3.3.3管理、收集和报告服务器配置

　　12.打开 Client Security，并在管理服务器上运行“配置向导”。

　　13.在该向导运行期间，指定与“安装向导”相同的设置。

　　14.展开 MOM 2005 管理员控制台  “管理”  “全局设置”节点。右键单击“管理服务器”并选择“属性”。在“自动管理”选项卡上，选择“不自动安装、卸载和升级代理以及自动启动和停止无代理管理”选项。

　　15.在报告服务器上，单击“启动”  “所有程序”  “Microsoft SQL Server 2005”  “配置工具”，然后单击“SQL Server 外围应用配置”。

　　16.在“SQL Server 2005 外围应用配置”页上，单击“服务和连接外围应用配置”  “报告服务” “服务”，然后验证它正在运行。单击“确定”。

　　17.单击“功能的外围应用配置器”。

　　18.在“功能的外围应用配置器”  “报告服务”中，选择“计划的事件和传递”并验证它已启用。

　　19.选择“Web 服务和 HTTP 访问”并验证它已启用。

　　20.展开“FCS 管理 Client Security”控制台并创建在规划过程期间确定的 FCS 客户端策略。将这些策略分配给在 2.1.2 部分中创建的适当组织单位和安全组。

　　注意

　　您也可以选择将策略部署到文件。在部署到文件时，必须使用 Client Security CD 上提供的 FCS 本地策略工具 (fcslocalpolicytool.exe) 在客户端手动应用策略。

　　21.启用该策略以便部署。

　　22.使用“组策略管理控制台” (GPMC)，将 Active Directory 中的自动更新位置源更改为指向 FCS 分发服务器。