Ir para o Menu
Pesquisar a Base de conhecimento
SEC: Como configurar o Message Relay
Número de Referência: AA-00640 Visualizações: 44138 Criado: 05-10-2017 16:50 Última Atualização: 05-10-2017 16:58

- Descrição:

Este artigo visa descrever os passos de configuração de Message Relay em WAN pública.

- Sobre o Message Relay:

Um computador Message Relay transmite mensagens entre os Endpoints gerenciados e o servidor que contém o componente Management Server. Neste artigo, abordaremos um dos casos mais comuns onde publica-se a SEC em WAN pública, ou seja, o intermédio de comunicação se dá através da própria internet. É muito utilizado em casos de máquinas que não possuem acesso frequente a rede corporativa mas que precisam ser gerenciadas, como por exemplo empresas MSP (Managed Service Provider) ou que possuem filiais em diversos locais.

A transferência de políticas também ocorre pela internet, inclusive das máquinas localizadas na própria matriz.

- Guia rápido:


  • O “estouro” do número de estações que podem ser gerenciadas pelo servidor;
  • A redução do número de conexões diretas com o servidor;
  • A instalação da SEC em servidor Windows 2008 que gerenciará mais de 4 mil computadores em uma única console, visto que através de testes foram comprovados problemas de performance.

- Limitações:

  • Há uma demora de 20 à 40 minutos para a aplicação de políticas;
  • Trata-se de um método mais complexo e suscetível a erros;
  • Para parceiros MSP, é necessária a criação de repositórios distintos para cada uma das empresas que gerencia;
  • O CleanUp via console não funciona. Será necessária a limpeza manual.

- Funcionamento:

A comunicação entre os Endpoints e a SEC ocorre da seguinte maneira em uma configuração padrão:


Toda comunicação ocorre apenas entre o servidor da SEC e os Endpoints. Os updates são feitos atravcés do próprio servidor da SEC.

Após a configuração de Message Relay, o funcionamento passa a ser: 


Agora, toda comunicação acontece através do servidor de Message Relay. Um novo Ponto de Distribuição (update location) é criado.

- Pré-requisitos para que um computador atue como Message Relay:

  • Deve ser um Windows Server nas versões 2008 R2, 2012 ou 2012 R2. Não é recomendada a utilização de Windows Server 2008, pois existem problemas de desempenho já conhecidos pela Sophos quando são gerenciados mais de 5 mil computadores.

Até Outubro de 2017, a versão Windows Server 2016 ainda não é suportada

  • O endpoint deve estar instalado como parte do procedimento;
  • Deve possuir IP estático;
  • Deve ter o poder de processamento suficiente para lidar com o número de equipamentos a que se destina suportar;
  • Neste caso, em que a SEC será publicada em WAN, recomenda-se inserir o servidor em uma DMZ (ou seja, uma zona isolada).

Nota: Quando corretamente configurado, é capaz de suportar 8 mil Endpoints.

- Configuração: 

  1.  A criação de um novo local de update. Neste caso, configuraremos uma WebCID no IIS, conforme artigo abaixo:
    SEC: Configurando a WebCID no IIS 8 http://suporte.m3corp.com.br/article/AA-00414
    Nota: Caso esteja sendo utilizado o Sophos como Secondary Server, é recomendado que seja marcada a opção “Allow location roaming” para prevenir alterações na configuração do Message Relay (MRInit.conf).

  2. Alteração de registro e arquivos binários de comunicação Mrinit.conf.

    Após criada a WebCID, entre no Regedit e execute os seguintes procedimentos:
    1. Realize o backup das configurações atuais (botão direito > “Export”)
    2. Modifique a chave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Message Router\ImagePath 
    para 
    "C:\Program Files\Sophos\Remote Management System\RouterNT.exe" -service - name Router -ORBDottedDecimalAddresses 0 -ORBListenEndpoints iiop://:8193/ssl_port=8194&hostname_in_ior=MR.domain.com

  3. Modifique também a chave HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\Messaging System\Router\ServiceArg
    para -ORBDottedDecimalAddresses 0 -ORBListenEndpoints iiop://:8193/ssl_po rt=8194&hostname_in_ior=MR.domain.com
    Onde: MR.domain.com é referente ao endereço da WebCID criada 

  4. Alteração do arquivo Mrinit.conf

    Estes arquivos geralmente se encontram repetidas vezes no servidor:
     • C:\Program Files\Sophos\Enterprise Console\MRInit.conf
     • C:\Program Files\Sophos\Update Manager\MRInit.conf
     • C:\ProgramData\Sophos\Update Manager\Update Manager\CIDs\S000\SAVSCFXP\MRInit.conf


    Neles, existem duas configurações básicas: o “MRParentAddress” e o “ParentRouterAddress”. Por padrão, são configurados da seguinte maneira:

    Configuração padrão:
    [Config]
    "NotifyRouterUpdate"="EM"
    "ClientIIOPPort"=dword:00002001
    "ClientSSLPort"=dword:00002002
    "ClientIORPort"=dword:00002000
    "IORSenderPort"=dword:00002000
    "DelegatedManagerCertIdentityKey"="aVttls6YchFg8RN103rks69CV/E="
    "ManagedAppCertIdentityKey"="dZLOXptgbJpqzYUgP+3WM3Ol2wA="
    "RouterCertIdentityKey"="FB8jtmjS0JNSqaCSDtboykuRPAg="
    "ServiceArgs"=""
    "MRParentAddress"=“[IP-address],[FQDN-address],[NETBIOS-address]”
    "ParentRouterAddress"="[IP-address],[FQDN-address],[NETBIOS-address]“

    Onde: IP-address é o endereço IP do servidor
    FQDN-address é o nome completo do servidor
    NETBIOS-address é o hostname do servidor


    Para que possamos configurar o Message Relay em uma WAN pública através da WebCID criada, devemos alterar o ParentRouterAddress (e apenas ele) para o endereço da WebCID. Ficará da seguinte forma: 

    [Config]
    "NotifyRouterUpdate"="EM"
    "ClientIIOPPort"=dword:00002001
    "ClientSSLPort"=dword:00002002
    "ClientIORPort"=dword:00002000
    "IORSenderPort"=dword:00002000
    "DelegatedManagerCertIdentityKey"="aVttls6YchFg8RN103rks69CV/E="
    "ManagedAppCertIdentityKey"="dZLOXptgbJpqzYUgP+3WM3Ol2wA="
    "RouterCertIdentityKey"="FB8jtmjS0JNSqaCSDtboykuRPAg="
    "ServiceArgs"=""
    "MRParentAddress"=“[IP-address],[FQDN-address],[NETBIOS-address]”
    "ParentRouterAddress"=" MR.domain.com

    IMPORTANTE: não altere o “MRParentAddress” e esteja certo de que haverá uma linha em branco no final do arquivo.

    Arquivo MRInit.conf alterado:

    [Config]
    "NotifyRouterUpdate"="EM"
    "ClientIIOPPort"=dword:00002001
    "ClientSSLPort"=dword:00002002
    "ClientIORPort"=dword:00002000
    "IORSenderPort"=dword:00002000
    "DelegatedManagerCertIdentityKey"="aVttls6YchFg8RN103rks69CV/E="
    "ManagedAppCertIdentityKey"="dZLOXptgbJpqzYUgP+3WM3Ol2wA="
    "RouterCertIdentityKey"="FB8jtmjS0JNSqaCSDtboykuRPAg="
    "ServiceArgs"=""
    "MRParentAddress"="172.16.10.34,SRVCONSOLE.Sophos.sec.com,SRVCONSOLE"
    "ParentRouterAddress"="Sophos.sec.com"
- Links relacionados: 

Atenção!!!

Para maiores informações abra um chamado para a nossa equipe de suporte através do nosso painel de controle, para isso siga as instruções disponíveis no artigo abaixo:

Instruções para Suporte Técnico - M3Corp:
http://suporte.m3corp.com.br/article/AA-00283