Enterprise Console: メッセージリレー用コンピュータの設定

  • 文章 ID: 14635
  • 更新日: 2014 8 18

メッセージリレーコンピュータは、Endpoint Security and Control または Sophos Anti-Virus を稼動するコンピュータとユーザーの管理サーバーとの間でメッセージ (ウイルス情報など) を中継します。メッセージリレー用コンピュータを使用する理由として以下が挙げられます。

  • 管理サーバーが管理できるクラ イアントマシンの台数を増やす
  • 管理サーバーへ直接接続するコンピュータの台数を減らす
  • ファイアウォールの環境設定を簡素化する
  • 1つのコンソールから 4,000台を上回るコンピュータを管理する際に、Windows 2008 を実行しているサーバーに Enterprise Console をインストール する

メッセージリレーとして作動するコンピュータは以下の条件を満たす必要があります。

  • Windows 2000、2003、2008 R2、または 2012 サーバー である (Windows 2008 をメッセージリレーに使用することはお勧めしません。Enterprise Console および RMS を Microsoft Windows Server 2008 で使用するをご覧ください。)
  • ここでの手順の一部として Endpoint Security and Control をインストールする
  • 固定 IP ア ドレスを持つ
  • サポート対象となる多数のエンドポイントとサーバー間の通信を処理する上での十分な処理能力を持つ

注: 充分なリソースを使用して正常に設定されたメッセージリレーでは、8000 台のエンドポイントに対応できる必要があります。 

影響を受けるソフォス製品とバージョン

Enterprise Console 5.1.0
Enterprise Console 5.0.0
Enterprise Console 4.7.0
Enterprise Console 4.5.0
Enterprise Console 4.0.0

動画を見る (英語)

説明・対策

メッセージリレーを設定するには 3つの主要な手順があります。

  1. メッセージリレー用コンピュータおよびメッセージリレーを使用するエンドポイント/サーバーによって使用される、新しい配布元 (Enterprise Console 4 内) を設定する
  2. 新しいグループと、メッセージリレー用コンピュータおよびメッセージリレーを使用するエンドポイント/サーバーによって使用される、アップデートポリシーおよびグループを Enterprise Console で作成する
  3. メッセージリレーとメッセージリレーを使用するエンドポイント/サーバーを保護 (または再保護) する

上記の手順は、設定する各メッセージリレーごとに実行される必要があります。メッセージリレー設定の詳しい手順は以下です。

1.メッセージリレー用の新しいアップデート元を設定する

メッセージリレーを設定するには、アップデート元に含まれている mrinit.conf ファイルの設定を変更する必要があります。このため、各メッセージリレーは個別の配布元が必要になります。

1.1 新しいアップデート元を作成する

配布する各パッケージに対して新しい配布元を作成する必要がありますが、これらの配布元が同一のメッセージリレーを使用する場合、mrinit.conf を共有できます。

Enterprise Console 4 の Update Manager に追加のアップデート元を作成するには、ヘルプ: ソフトウェアの配置場所を指定するをご覧ください。 既存の Update Manager ですべてのパッケージに対する新しい配布ポイントを作成できます。

1.2 mrinit.conf を編集して配布元へのメッセージルーティングを変更する

ファイル mrinit.conf には、配布元に関するルータ環境設定情報が含まれます。メッセージルータの IP アドレスを指定するには編集が必要です。1つの配布元については全パッケージでメッセージルータの設定は同一なので、 mrinit.conf ファイルをグループの他のパッケージにコピーできます。

  1. Windows エクスプローラで、新規のアップデート元のルートを参照します。
    Enterprise Console 4 (およびそれ以上): \\[サーバー1]\SophosUpdate\CIDs\Sxxx\[パッケージ名]
  2. mrinit.conf を rms のサブフォルダ (Windows 9x パッケージでは RMS サブフォルダは rms9x と呼ばれます) にコピーします。
  3. 「メモ帳」で mrinit.conf を開きます。
  4. 次の変数を探してください。
    "ParentRouterAddress"="[IP-アドレス],[FQDN-アドレス],],[NETBIOS-アドレス],]"
    ここでの「アドレス」は、通常、管理サーバーのドメイン名や IP アドレスです。
  5. 編集して次の形式に変更します。
    "ParentRouterAddress"="[MR-IP],[MR-FQDN],[MR-NETBIOS]"
    各値の説明
    * MR-IP は、メッセージリレー用コンピュータの IP アドレスです。
    * MR-FQDN は、メッセージリレー用コンピュータの完全修飾ドメイン名です。
    * MR-NETBIOS は、メッセージリレー用コンピュータの NETBIOS 名です。

    編集の 1例は次のとおりです。 "ParentRouterAddress"="10.1.200.65,MRComputer.Sales.Acme,MRComputer"

  6. 編集した mrinit.conf を他の RMS サブフォルダにコピーします。

    Enterprise Console 4 (およびそれ以降) の場合: \\[サーバー1]\SophosUpdate\CIDs\Sxxx\[パッケージ名]\rms\

重要:

  • ConfgCID.exe を実 行する前に、編集した mrinit.conf ファイルをメッセージリレーの配布元の MS のサブディレクトリに置くことが非常に重要です (ステップ 1.3 参照)。編集した mrinit.conf ファイルを配布元のルートに置いた場合、RMS がインストールまたはアップデートされた際に Sophos AutoUpdate が正しいファイルを持ってくることができなくなります。mrinit.conf ファイル のデフォルトの場所は system.xml (RMSConfigPath タグ) で定義されている RMS のサブディレクトリであるため、ルートで行った mrinit.conf ファイルへのすべての変更は、SUM が共有ディレクトリをアップデー トする際に失われてしまいます。
  • "MRParentAddress" を含む行は編集しないでください。
  • ファイルの終わりに 1行分スペースがあることを確認してください。最後に改行を行った場合は、それを削除しないでください。
  • メッセージリレー用コンピュータが動的 IP アドレスを持つドメイン環境の Windows NT では、使用するコンピュータがメッセージリレー用コンピュータのアドレスを解決できるよう、完全修飾ドメイン名 (FQDN) が ParentRouterAddress に含まれていることを確認してください。

1.3 ConfigCID.exe を使用してアップデート元で新しい環境設定ファイルを使用する

注: ユーザーアカウント制御 (UAC) がコンピュータで有効に設定されている場合、管理者アカウントでログオンしている場合でもコマンドプロンプトを管理者 (「管理者として実行」) として開いてください。

  1. 次のように、新規作成されたすべてのパッケージで ConfigCID.exe を実行します。詳細は、サポートデータベースの文章 13112 を参照してください。
  2. プログラムが出力した以下の行を確認します。出力行には次の2行が含まれているはずです。
    • Adding entry for \rms\mrinit.conf
    • Adding entry for \mrinit.conf

    さらに次の2行も含まれます。
    • Read catalog file cidsync.upd
    • Updating checksum

これらの行は、ファイル mrinit.conf が見つかり、それが、ご使用のエンドポイントおよびメッセージリレー用コンピュータ上の Sophos AutoUpdate がダウンロードするファイルの一覧に追加されたことを示します。

2. Enterprise Console でメッセージリレー グループ、ポリシーを作成する

Enterprise Console で次の操作を行います。

  1. アップデートポリシーを作成します (例: rMessageR1)。プライマリサーバーのアドレスを新規アップデート元に設定します。

    Enterprise Console 4 :\\[サーバー1]\SophosUpdate\

  2. グループを作成し (例: MessageR1)、作成したポリシー (MessageR1) をこのグループに適用します。

3. Sophos Anti-Virus を使用するメッセージリレー用コンピュータにインストールする

メッセージリレー用コンピュータを最初に設定する

Enterprise Console で次の操作を行います。

  1. メッセージリレー用コンピュータを新規グループ (MessageR1) に追加して保護します。
  2. 管理され、保護されているコンピュータとして、Enterprise Console で表示されるのを待ちます。
  3. これでコンピュータは、メッセージリレー用コンピュータとして設定されました。管理サーバーを「親」として使用するように設定されているすべてのクライアントマシンから管理サーバーにメッセージが転送されます。
  4. メッセージリレー用コンピュータが、新規アップデート元から環境設定ファイルを受け取ったことを確認するには

    Endpoint Security and Control を実行していいるコンピュータ:
    Endpoint Security and Control を開き、 「アップ デートの環境設定」をクリックします。「プライマリサーバー」タブに一覧されているパスが新しいアップデート元を指定していることを確認します。

エンドポイントコンピュータへ配置する

Enterprise Console で次の操作を行います。

  1. メッセージリレー用コンピュータを使用するクライアントマシンを、メッセージリレー グループ (MessageR1) に移動します。
  2. 各クライアントマシンがアップデートするのを待ちます。これで、クライアントマシンは、メッセージをすべてメッセージリレー用コンピュータ経由で管理サーバーに送信します。
  3. 以下のレジストリエントリを確認することにより、各エンドポイントが正しいコンピュータへメッセージを送信していることを確認できます。
    • 32ビット:HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\Messaging System\Router\ | ParentAddress
    • 64ビット:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Sophos\Messaging System\Router | ParentAddress

    2項で mrinit.conf に追加した MR-IP、MR-FQDN および MR-NETBIOS が含まれるているはずです。(例: 10.1.200.65,MRComputer.Sales.Acme,MRComputer)
技術情報

クライアントマシンの Sophos Message Routers は、直接管理サーバーにレポートするのではなく、「親」としてのメッセージリレー用コンピュータにレポートするように環境設定されています。したがって、メッセージリレー用コンピュータは、他のコンピュータの「親ルータ」として動作、管理されているコンピュータです。しかし、メッセージリレー用コンピュータは、大量の接続された「子ルータ」を持つことが予想されるため、サーバーレベルの OS とハードウェアの使用が必須です。メッセージリレーの 設定は、増加したメッセージ通信量を処理するために、上記で説明した方法で変更されます。

  • メッセージリレー用コンピュータは、「チェーン化」することが可能です。推奨できる最大ネストレベルは 7レベルです (6台のメッセージリレー用コンピュータ、および最終到達コンピュータ 1台)。この最大レベルの値は、コンピュータ名の文字列の長さによっ て変わってきます。このため、コンピュータ名が平均的な長さとは異なる場合は、ここでの説明を適宜変更して理解する必要があります。
  • 配布元と同じサーバーでメッセージリレーを実行することが可能です。
  • 以下のレジストリキーは、メッセージルーターが通常のメッセージルータとは異なり 、メッセージリレーとして機能できるように作成/変更されています。

    [HKEY_LOCAL_MACHINE\SOFTWARE\[Wow6432Node]\Sophos\Messaging System\Router]
    "ConnectionCache"=dword:00005020
    "NumSenderThreads"=dword:00000008
    "ConnectRetriesPause"=dword:00000064
    "TotalConnectRetryTimeSecs"=dword:0000000a
    "GetterInterval"=dword:00000078
    "GetterShortInterval"=dword:00000078
    "NumNotificationThresholdThreads"=dword:00000004


    注: メッセージリレーでのメッセージ処理やメッセージファイルの作成処理が遅い場合、以下を追加できます。

    [HKEY_LOCAL_MACHINE\SOFTWARE\[Wow6432Node]\Sophos\Messaging System\Router]
    "NumORBThreads"=dword:00000010


    上記を追加したら、変更が使用されるように "Sophos Message Router" サービスを再起動します。この変更によって、ルータが使用できるスレッド数が 4 から 16 に変更され、この数は管理サーバー上のメッセージルータが使用しているスレッド数と同じです。

 
詳細情報が必要な場合やご不明の点がある場合は、 テクニカルサポート までご連絡ください。

Rate this article

Very poor Excellent

Comments