Enterprise Console: configurar equipos de transmisión de mensajes

Los equipos repetidores de mensajes envían mensajes (informes de virus, etc.) entre los equipos que utilizan Endpoint Security and Control o Sophos Anti-Virus, y el servidor de administración. Estas son algunas de las razones para el uso de equipos repetidores de mensajes:

• aumentar el número de estaciones que pueden gestionarse desde el servidor de administración
• reducir el número de conexiones directas con el servidor de administración
• simplificar la configuración del cortafuegos
• instalar Enterprise Console en un servidor con Windows 2008 para administrar más de 4 000 ordenadores con una única consola (inglés).

El ordenador que funciona como repetidor de mensajes:

• debería ser un servidor con Windows 2000, 2003 o 2008 R2 (no es aconsejable utilizar servidores con Windows 2008 como repetidores de mensajes: consulte Utilización de Enterprise Console y RMS en Microsoft Windows Server 2008 (inglés) para obtener más información.)
• tendrá Endpoint Security and Control 9 o Sophos Anti-Virus 7 instalado una vez finalizado este proceso
• debe tener una dirección IP fija
• debe disponer de la potencia necesaria para encargarse de las comunicaciones de todos los equipos a los que presta servicio

Ocurre en los siguientes productos de Sophos
Enterprise Console 4.0.0
Enterprise Console 4.5.0
Enterprise Console 4.7.0

Qué hacer

El proceso consta de tres pasos principales:

1. Configurar un nuevo punto de distribución (en Enterprise Console 4) para el repetidor de mensajes y las estaciones que lo utilicen.
2. Crear un nuevo grupo y una política de actualización en Enterprise Console para el repetidor de mensajes y las estaciones que lo utilicen.
3. Proteger (o volver a proteger) el repetidor de mensajes y las estaciones que lo utilicen.

Debe realizar estos pasos con todos los repetidores de mensajes que configure. A continuación se describe con más detalle cada paso.

1. Configurar una nueva ubicación de actualización

Para configurar un repetidor de mensajes, debe cambiar ciertas opciones en el archivo mrinit.conf dentro de la ubicación de actualización, por lo que cada repetidor de mensajes necesita su propio punto de distribución.

1.1 Crear una nueva ubicación de actualización

Debe crear un nuevo punto de distribución para cada paquete; sin embargo, los puntos de distribución pueden compartir el archivo mrinit.conf si utilizan el mismo repetidor de mensajes.

Para crear una ubicación de actualización en Update Manager (Enterprise Console 4), consulte las instrucciones del artículo Preguntas y respuestas: cómo especificar la ubicación del software (inglés) Puede crear un nuevo punto de distribución para todos los paquetes en Update Manager.

1.2 Editar mrinit.conf para cambiar la ruta de notificación del punto de distribución

El archivo mrinit.conf contiene la información de configuración del router del punto de distribución. Es necesario modificarlo para indicar la dirección IP del repetidor de mensajes. Puesto que la configuración del repetidor de mensajes es la misma para todos los paquetes de un mismo punto de distribución, una vez modificado, puede copiar el archivo mrinit.conf en los demás paquetes del grupo.

1. En el Explorador de Windows, vaya a la raíz de la nueva ubicación de actualización
   Enterprise Console 4 : \\[Servidor1]\SophosUpdate\CIDs\Sxxx\[nombre del paquete].
2. Copie el archivo mrinit.conf en la subcarpeta rms (en los paquetes de Windows 9x, la subcarpeta se denomina rms9x).
3. Abra esa copia de mrinit.conf en Bloc de notas.
4. Busque la variable:
   "ParentRouterAddress"="[dirección-IP],[dirección-FQDN],[dirección-NETBIOS]"
   siendo "dirección" el nombre del dominio o la dirección IP del servidor de administración.
5. Sustitúyala por:
   "ParentRouterAddress"="[IP-RM],[FQDN-RM],[NETBIOS-RM]"
   siendo:
   * IP-RM es la dirección IP del equipo repetidor de mensajes.
   * FQDN-RM es el nombre de dominio completo del equipo repetidor de mensajes.
   * NETBIOS-RM es la dirección NETBIOS del equipo repetidor de mensajes.
   

   En el ejemplo anterior, podría ser: "ParentRouterAddress"="10.1.200.65,EquipoRM.Ventas.Acme,EquipoRM"

6. Copie el archivo mrinit.conf modificado en el resto de subcarpetas RMS
   
   En Enterprise Console 4: \\[Servidor1]\SophosUpdate\CIDs\Sxxx\[nombre del paquete]\rms.

Importante:

• Es obligatorio colocar el archivo mrinit.conf modificado en el directorio rms secundario del punto de distribución del repetidor de mensajes antes de ejecutar ConfgCID.exe (vea el paso 1.3). Si coloca el archivo mrinit.conf en la raíz del punto de distribución, Sophos AutoUpdate no utilizará el archivo correcto al instalar o actualizar RMS. Se perderán todos los cambios realizados en el archivo mrinit.conf del punto de distribución cuando SUM actualice el recurso compartido, ya que la ubicación predeterminada para mrinit.conf, según lo definido en system.xml (etiqueta RMSConfigPath), es el directorio secundario RMS.
• No modifique la línea que contiene "MRParentAddress".
• Compruebe que hay una línea vacía al final del archivo. Si hay un retorno de carro final, no lo elimine.
• Para Windows NT en un entorno de dominios en el que el equipo repetidor de mensajes tenga una dirección IP dinámica asignada, asegúrese de que ParentRouterAddress incluye el nombre completo del dominio, de forma que los equipos puedan resolver la dirección del repetidor de mensajes.

1.3 Usar ConfigCID.exe para aplicar el nuevo archivo de configuración

NOTA: si el Control de cuentas de usuario está activado en el equipo, abra la línea de comandos como administrador ('Ejecutar como administrador') aunque haya iniciado sesión con una cuenta de administrador.

Podrá encontrar ConfigCID.exe en:

• Enterprise Console 4: en C:\Archivos de programa\Sophos\Enterprise Console\SUM

1. Ejecute ConfigCID.exe en todos los paquetes recién creados:
   

   En Enterprise Console 4, para actualizar el paquete de Windows 2000+:

   ConfigCID.exe "C:\Documents and Settings\All Users\Datos de programa\Sophos\Update Manager\Update Manager\CIDs\Sxxx\SAVSCFXP"

2. Compruebe el resultado:
   deberían aparecer dos líneas con
   
   • Adding entry for \rms\mrinit.conf
   • Adding entry for \mrinit.conf
   
   y otras dos líneas con:
   
   • Read catalog file cidsync.upd
   • Updating checksum

Estas líneas confirman que se ha encontrado el archivo mrinit.conf y que se ha añadido al catálogo de archivos que Sophos AutoUpdate descargará en las estaciones y en el equipo repetidor de mensajes.

2. Creación de un grupo y una política del repetidor de mensajes en Enterprise Console

En Enterprise Console:

1. Cree una política de actualización (por ejemplo, Repetidor1). Establezca la nueva ubicación de actualización o CID como la fuente primaria de actualización.

   En Enterprise Console 4: \\[Servidor1]\SophosUpdate\

2. Cree un grupo nuevo (por ejemplo, MessageR1) y asígnele la política (MessageR1).
   
   Consulte Preguntas y respuestas: crear grupos (inglés) y Preguntas y respuestas: crear políticas (inglés) para más información.

3. Instalar Sophos Anti-Virus en el ordenador repetidor de mensajes y las estaciones que lo utilicen

Configure primero el ordenador repetidor de mensajes

En Enterprise Console:

1. Añada el equipo repetidor de mensajes al grupo nuevo (Repetidor1) y protéjalo.
2. Espere a que Enterprise Console indique que el equipo está administrado y protegido.
3. El equipo debería estar configurado ya como repetidor de mensajes, y enviar mensajes entre el servidor de administración y todas las estaciones configuradas para utilizarlo.
4. Para comprobar que el equipo repetidor de mensajes ha recibido la configuración desde la nueva ubicación de actualización:
   
   En una estación con Endpoint Security and Control:
   Abra Endpoint Security and Control y haga clic en Configurar actualización. Compruebe que la configuración del 'Servidor primario' coincide con la nueva ubicación de actualización.

Distribuir el software a las estaciones

En Enterprise Console:

1. Mueva las estaciones que utilizarán el equipo repetidor de mensajes al grupo del repetidor de mensajes (Repetidor1)
2. Espere a que se actualicen.
   
   Después, trasmitirán todos los mensajes al servidor de administración a través del equipo repetidor de mensajes.
3. Para confirmar que las estaciones envían los mensajes al equipo adecuado, revise la entrada de registro: HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\Messaging System\Router\ParentAddress. Debería contener las direcciones IP-RM, FQDN-RM y NETBIOS-RM que añadió a mrinit.conf en la sección 2 (por ejemplo, 10.1.200.65,EquipoRM.Ventas.Acme,EquipoRM).

Información técnica

Los equipos repetidores de mensajes son servidores de Windows 2000/2003/2008 que utilizan un router de mensajes de Sophos como parte de Sophos Anti-Virus. Este servidor se coloca entre el servidor de administración y las estaciones administradas.

Entre las razones para la implementación de un repetidor de mensajes se incluyen:

• la mejora de la escalabilidad
• la reducción del número de conexiones directas con el servidor de administración*
• la simplificación de la configuración del cortafuegos
• la adecuación de la topología de la red.

* Una vez implementados uno o más servidores repetidores de mensajes, ninguna estación debería comunicarse directamente con el servidor de administración: todas las estaciones deberían enviar los mensajes al repetidor encargado de reenviarlos (es decir, solo los servidores repetidores de mensajes deberían conectar con el servidor de administración).

Los routers de mensajes de Sophos en las estaciones están configurados para comunicarse con el equipo repetidor de mensajes, en lugar de comunicarse directamente con el servidor de administración. Por consiguiente, los repetidores de mensajes son equipos administrados que funcionan como routers principales de otros equipos. Sin embargo, dada la posibilidad de que un gran número de routers secundarios estén conectados al equipo repetidor, es necesario utilizar sistemas operativos y hardware de nivel de servidor. La configuración RMS del ordenador que hace de repetidor de mensajes se modifica para poder absorber la cantidad de mensajes que se generan.

• Los repetidores de mensajes pueden encadenarse. El nivel de anidación máximo recomendado es siete (seis repetidores de mensajes y el destino final). El límite depende de la longitud del nombre de las estaciones. Por lo tanto, si los nombres de los equipos son más largos o más cortos que la media, elija la opción más adecuada.
• Si lo desea, puede ejecutar un repetidor de mensajes en el mismo servidor que el punto de distribución.
• Las siguientes claves del registro se crean o modifican para que el router de mensajes funcione como repetidor, en lugar de funcionar como un router normal.
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\Messaging System\Router]
  "ConnectionCache"=dword:00005020
  "NumSenderThreads"=dword:00000008
  "ConnectRetriesPause"=dword:00000064
  "TotalConnectRetryTimeSecs"=dword:0000000a
  "GetterInterval"=dword:00000078
  "GetterShortInterval"=dword:00000078
  "NumNotificationThresholdThreads"=dword:00000004
  
  Nota: si los mensajes se procesan con lentitud o se acumulan en el repetidor, puede añadir también:
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\Messaging System\Router]
  "NumORBThreads"=dword:00000010
  
  Incluya Wow6432Node si utiliza un equipo de 64 bits.
  
  Una vez realizado el cambio, es necesario reiniciar el servicio Sophos Message Router para que surta efecto. De esta forma, el router podrá utilizar más hilos, en lugar del máximo de 16 que utiliza el router de mensajes del servidor de administración.