Enterprise Console: Konfiguration von Message Relay-Computern

Ein Message Relay-Computer leitet Meldungen (wie Viren-Reports usw.) von Computern mit Endpoint Security and Control oder Sophos Anti-Virus an Ihren Management Server weiter. Gründe zum Gebrauch eines Message Relay-Computers:

• Erhöhen der Anzahl von Arbeitsplatzrechnern, die vom Management Server verwaltet werden
• Verringern der Anzahl direkter Verbindungen zum Management Server
• Vereinfachen der Firewall-Konfiguration
• Installieren von Enterprise Console auf einem Server mit Windows 2008, wenn Sie mehr als 4.000 Computer von einer Konsole aus verwalten.

Der als Message Relay fungierende Computer:

• muss ein Windows 2000/2003/2008 R2-Server sein (Windows 2008 wird für Message Relays nicht empfohlen: Einsatz von Enterprise Console und RMS auf Microsoft Windows Server 2008.)
• installiert Endpoint Security and Control 9 oder Sophos Anti-Virus 7 im Rahmen dieses Verfahrens
• muss eine feste IP-Adresse haben
• muss ausreichend Arbeitsspeicher haben, um mit der Kommunikation für die Endpoints und Server umgehen zu können, die er unterstützen soll

Betrifft die folgenden Sophos Produkte/Versionen:
Enterprise Console 4.0.0
Enterprise Console 4.5.0
Enterprise Console 4.7.0

Vorgehensweise

Zum Einrichten eines Message Relays gibt es drei Hauptschritte:

1. Konfigurieren Sie einen neuen Distributionspunkt (in Enterprise Console 4), der vom Message Relay-Computer und von den Endpoints/Servern verwendet wird, die das Message Relay nutzen.
2. Erstellen Sie eine neue Gruppe, eine Update-Richtlinie und -Gruppe in Enterprise Console, die vom Message-Relay-Computer und den Enpoints/Servern verwendet werden, die ihn benutzen.
3. 3.Schützen Sie (oder schützen Sie erneut) das Message Relay und die Endpoints/Server, die es benutzen.

Die obige Vorgehensweise muss für jedes Message Relay durchgeführt werden, das konfiguriert werden soll. Detaillierte Anweisungen zum Einrichten eines Message Relays werden im Folgenden aufgelistet.

1. Konfigurieren eines neuen Update-Verzeichnisses für das Message Relay

Zum Konfigurieren eines Message Relays müssen Sie einige Einstellungen in der Datei "mrinit.conf" in seinem Update-Verzeichnis ändern. Aus diesem Grund erfordert jedes Message Relay einen separaten Distributionspunkt.

Erstellen eines neuen Update-Verzeichnisses

Sie müssen zwar für jedes zu installiernde Paket einen neuen Distributionspunkt erstellen. Diese Distributionspunkte können jedoch die Datei "mrinit.conf" gemeinsam nutzen, wenn sie das gleiche Message Relay verwenden.

Zur Erstellung eines zusätzlichen Update-Verzeichnisses im Update Manager in Enterprise Console 4 folgen Sie den Anweisungen unter "Software-Hilfe: Festlegen des Zielorts für Software". Sie können einen neuen Distributionspunkt für alle Pakete in einem vorhandenen Update Manager erstellen.

.2 Bearbeiten von "mrinit.conf", um das Message Routing für den Distributionspunkt zu ändern

Die Datei "mrinit.conf" enthält die Router-Konfigurationsinformationen für den Distributionspunkt. Sie muss bearbeitet werden, um die IP-Adresse des Message Routers anzugeben. Da die Message Router-Einstellungen für alle Pakete in einem Distributionspunkt gleich sind, können Sie die Datei "mrinit.conf" nach der Bearbeitung in die anderen Pakete der Gruppe kopieren.

1. Suchen Sie in Windows Explorer nach dem Stamm Ihres neuen Update-Verzeichnisses.
   Enterprise Console 4: \\[Server1]\SophosUpdate\CIDs\Sxxx\[Paketname].
2. Kopieren Sie die Datei "mrinit.conf" in den RMS-Unterordner (bei Windows 9x-Paketen nennt sich der RMS-Unterordner "rms9x").
3. Öffnen Sie diese Kopie von "mrinit.conf" im Editor.
4. Suchen Sie die folgende Variable:
   "ParentRouterAddress"="[IP-address],[FQDN-address],[NETBIOS-address]"
   dabei ist "Adresse" wahrscheinlich der Domänenname oder die IP-Adresse Ihres Management Servers.
5. Ändern Sie dies wie folgt ab:
   "ParentRouterAddress"="[MR-IP],[MR-FQDN],[MR-NETBIOS]"
   Dabei ist:
   * MR-IP die IP-Adresse des Message Relay-Computers.
   * MR-FQDN der vollständige Domänenname des Message Relay-Computers.
   * MR-NETBIOS er NETBIOS-Name des Message Relay-Computers.
   

   Im obigen Beispiel kann dies etwa "ParentRouterAddress"="10.1.200.65,MRComputer.Sales.Acme,MRComputer" sein.

6. 6.Kopieren Sie die bearbeitete Datei "mrinit.conf" in die anderen RMS-Unterordner
   
   In Enterprise Console 4: \\[Server1]\SophosUpdate\CIDs\Sxxx\[Paketname]\rms.

Hinweis:

• Sie müssen die bearbeitete Datei "mrinit.conf" vor dem Ausführen "ConfgCID.exe" (siehe Schritt 1.3) im rms-Unterverzeichnis des Distributionspunkts des Message Relays ablegen (siehe Schritt 1.3). Wenn Sie die bearbeitete "mrinit.conf"-Datei im Stammverzeichnis des Distributionspunks ablegen, lädt Sophos AutoUpdate bei der Installation oder dem Update von RMS nicht die richtige Datei herunter. Änderungen an der "mrinit.conf"-Datei im Stammverzeichnis des Distributionspunkts gehen verloren, wenn SUM die Freigabe aktualisiert, da das Standardverzeichnis von "mrinit.conf" das RMS-Verzeichnis ist, wie in "system.xml" (RMSConfigPath) festgelegt.
• Ändern Sie nicht die Zeile, die "MRParentAddress" enthält.
• Am Ende der Datei muss sich eine Leerzeile befinden. Sollte sich dort ein abschließender Zeilenumbruch befinden, dürfen Sie diesen nicht löschen.
• Bei Windows NT in einer Domänenumgebung, in der der Message Relay-Computer eine dynamisch zugewiesene IP-Adresse hat, muss der vollständige Domänenname in der ParentRouterAddress enthalten sein, damit Ihre Computer die Adresse des Message Relays auflösen können.

Neue Konfigurationsdatei im Update-Verzeichnis über "ConfigCID.exe" verwenden

Hinweis:  Wenn die Benutzerkontensteuerung auf dem Computer aktiviert ist, öffnen Sie eine Eingabeaufforderung als Administrator ("als Administrator ausführen"), auch wenn Sie sich über ein Administratorkonto angemeldet haben.

"ConfigCID.exe" befindet sich unter:

• Enterprise Console 4: "C:\Programme\Sophos\Enterprise Console\SUM".

1. Führen Sie "ConfigCID.exe" in allen neu erstellten Paketen aus:
   

   So können Sie das Windows 2000+-Paket in Enterprise Console 4 updaten:

   ConfigCID.exe "C:\Documents and Settings\All Users\Application Data\Sophos\Update Manager\Update Manager\CIDs\Sxxx\SAVSCFXP"

2. Überprüfen Sie die Ausgabe:
   Es sollten zwei Zeilen angezeigt werden, die den folgenden Text enthalten:
   
   • Adding entry for \rms\mrinit.conf
   • Adding entry for \mrinit.conf
   
   und zwei Zeilen mit:
   
   • Read catalog file cidsync.upd
   • Updating checksum

Diese Zeilen bestätigen, dass die Datei "mrinit.conf" vorhanden war und zum Katalog von Dateien hinzugefügt wurde, die von Sophos AutoUpdate auf Ihren Endpoints und auf dem Message Relay-Computer heruntergeladen wird.

2. Erstellen einer Message Relay-Richtlinie und -Gruppe in Enterprise Console

Öffnen Sie Enterprise Console und führen Sie folgende Schritte durch:

1. Erstellen Sie eine Update-Richtlinie (z.B. MessageR1). Stellen Sie Ihr neues Update-Verzeichnis/CID als Verzeichnis für den Primärserver ein.

   In Enterprise Console 4: \\[Server1]\SophosUpdate\

2. Erstellen Sie eine neue Gruppe (z.B. MessageR1) und weisen Sie Ihre Richtlinie (MessageR1) dieser Gruppe zu.
   
   Nähere Informationen entnehmen Sie bitte den Support-Artikeln Software-Hilfe... Erstellen einer Gruppe sowie Software-Hilfe... Erstellen einer Richtlinie.

3. Installation von Sophos Anti-Virus auf dem Message Relay-Computer und auf den Endpoints, die ihn verwenden

Richten Sie den Message Relay-Computer zuerst ein.

Öffnen Sie Enterprise Console und führen Sie folgende Schritte durch:

1. Fügen Sie den Message Relay-Computer zu ihrer neuen Gruppe (MessageR1) hinzu und schützen Sie ihn.
2. Warten Sie, bis der Computer in Enterprise Console als verwaltet und geschützt gemeldet wird.
3. Dieser Computer ist nun als ein Message Relay eingerichtet. Er leitet Meldungen zwischen dem Management Server und allen Arbeitsplatzrechnern weiter, die ihn laut Konfiguration als Parent verwenden.
4. So überprüfen Sie, ob der Message Relay-Computer seine Konfiguration vom neuen Update-Verzeichnis bezogen hat:
   
   Verfahren Sie auf einem Endpoint mit Endpoint Security and Control wie folgt:
   Öffnen Sie Endpoint Security and Control und klicken Sie auf "Updates konfigurieren". Überprüfen Sie, ob der Pfad auf der Registerkarte "Primärserver" auf das neue Update-Verzeichnis verweist.

Bereitstellung auf den Endpoints

Öffnen Sie Enterprise Console und führen Sie folgende Schritte durch:

1. Verschieben Sie die Arbeitsplatzrechner, die den Message Relay-Computer verwenden, in die Message Relay-Gruppe (MessageR1).
2. Warten Sie, bis das Update erfolgt ist.
   
   Danach werden alle Meldungen an den Management Server über den Message Relay-Computer übertragen.
3. Über folgenden Registrierungseintrag können Sie überprüfen, ob ein Endpoint Meldungen an den richtigen Computer sendet: HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\Messaging System\Router\ParentAddress. Er muss die MR-IP-, MR-FQDN- und MR-NETBIOS-Adressen enthalten, die in Abschnitt 2 zu "mrinit.conf" hinzugefügt wurden (z.B. 10.1.200.65,MRComputer.Sales.Acme,MRComputer).

Technischer Hintergrund

Bei einem Message Relay-Computer handelt es sich um einen Windows 2000/2003/2008-Server, der einen Sophos Message Router als Bestandteil von Sophos Anti-Virus ausführt. Der Server befindet sich zwischen dem Management Server und den verwalteten Arbeitsplatzrechner (Endpoints).

Gründe zum Gebrauch eines Message Relay-Computers:

• Vebesserte Skalierbarkeit
• Verringern der Anzahl direkter Verbindungen zum Management Server*
• Vereinfachung der Firewall-Konfiguration
• Geeignete Netzwerk-Topologie

* Wenn ein oder mehrere Message Relay-Server eingerichtet wurden, kommunizieren die Endpoints nicht mehr direkt mit dem Management Server; alle Endpoints versenden die Nachrichten an ein Message Relay, von dem sie weitergeleitet werden (d.h. nur die Message Relay-Server stellen eine Verbindung zum Management Server her).

Die Sophos Message Router auf den Arbeitsplatzrechnern senden Meldungen an den Message Relay-Computer als übergeordneten Computer und nicht direkt an den Management Server. Message Relays sind somit verwaltete Computer, die als Parent-Router für andere Computer fungieren. Da jedoch erwartet wird, dass ein Message Relay-Computer eventuell mit zahlreichen Child-Routern verbunden ist, sind Server-taugliche Betriebssysteme und Hardware empfehlenswert. Die RMS-Einstellungen des Message Relays werden durch den obigen Prozess geändert, um mit dem erhöhten Meldungsvolumen umgehen zu können.

• Message Relays können aneinandergekettet werden. Die maximal empfohlene Verschachtelungsebene lautet sieben (sechs Message Relays und das Endziel). Die Höchstgrenze hängt von der Länge des Maschinennamens ab. Wenn Ihre Computernamen als überdurchschnittlich kurz bzw. lang sind, sollten Sie die Hinweise Ihrer eigenen Situation anpassen.
• Ein Message Relay kann auf dem gleichen Server wie ein Distributionspunkt ausgeführt werden.
• Die folgenden Registrierungsschlüssel werden erstellt/geändert, damit der Nachrichten-Router als Message Relay fungieren kann:
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\Messaging System\Router]
  "ConnectionCache"=dword:00005020
  "NumSenderThreads"=dword:00000008
  "ConnectRetriesPause"=dword:00000064
  "TotalConnectRetryTimeSecs"=dword:0000000a
  "GetterInterval"=dword:00000078
  "GetterShortInterval"=dword:00000078
  "NumNotificationThresholdThreads"=dword:00000004.
  
  Hinweis: Wenn sich die Nachrichtenverarbeitung auf den Message Relays sehr langsam gestaltet oder sich die Nachrichten im Message Relay anhäufen, können Sie folgenden Eintrag hinzufügen:
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\Messaging System\Router].
  "NumORBThreads"=dword:00000010
  
  Bei 64-Bit-Systemen muss "Wow6432Node" angepasst werden.
  
  Nach dem Hinzufügen muss der Dienst "Sophos Message Router" zur Übernahme der Änderungen neu gestartet werden. Hierdurch erhöht sich die Anzahl an vom Router verarbeitbaren Threads von 4 auf 16 (die Zahl die auch vom Message Router auf dem Management Server verwendet wird.