メッセージリレー（MR）の作成¶

メッセージリレーとは¶

SEC単体で管理可能なクライアント数は管理サーバの性能にもよりますが、おおよそ2500台程度です。
登録数などで厳密な縛りがあるわけではなく、単純にハードウェアスペックによるものですが、この
ボトルネックとなっているのが管理通信であるRMSのセッション数です。

RMSはクライアントと管理サーバ間で8194ポートでセッションを貼りっぱなしになるので、通信量
は少ないとしても負荷としてはそれなりに高いと言えると思います。

クライアント数が4000を越える場合、SECを複数立てることでも管理を行うことが出来ますが、RMSは
「Windows/MAC版クライアントを経由させること」と「経由時にセッション数を絞ること」が可能です。
この仕組みをメッセージリレー（MR)と言います。

MRを利用することで管理できるクライアント数を増やすことや、SECに直接接続できないセグメント
も管理することが可能になります。

構成例¶

通常、MRが必要な規模となってくるとアップデートサーバ（UpdateManager）が複数存在すると思います。
また、複数のセグメントが存在するかもしれません。アップデートサーバは管理サーバからでないと操作
出来ないという仕組み上、ルーティングなりVPNなりで必ず管理通信の疎通が出来るはずです。

そういった面でMRとSUMは必要要件が似ているため兼任させやすいですが、注意点としてはUpdateMagerに
アップデートしに来るクライアントが多く既に負荷が高いときには役割を兼任しない方が良いでしょう。

下記ではUpdateManagerをMRとした設定例を記載します。

設定手順¶

メッセージリレーの向き先変更は、SEC内のインストーラ兼アップデート元の設定ファイルを変更します。
そのため、エンドポイント用に「どの中継サーバを経由するか」という観点で新たにサブスクリプション
を作成し、インストーラ兼アップデート元を生成することとなります。

まずMRとなるUpdateManagerにデフォルト設定のクライアントソフトを導入します。ただしUpdateManager
の動作によるオンアクセススキャンがクリティカルな負荷となる可能性があるので、必要に応じて除外や
オンアクセススキャンの設定を変更してください。

次にMR配下の端末にインストールするクライアントを作成するため、サブスクリプションを追加します。
（追加作業についてはここでは省略します）追加したサブスクリプション「Sxxx」以下のWindows版
パッケージ配下の「rms」フォルダを参照し、「mrinit.conf」の下記の箇所を編集します。

• mrinit.conf
  

  "ParentRouterAddress"="IP,FQDN,NETBIOS" 
  

デフォルトではSECの値が記載されているので、これをメッセージリレーとなるUpdateManagerのものに
変更します。

次にコマンドプロンプトで次のコマンドを入力します。

• コマンドプロンプト
  

  cd C:¥Program Files (x86)¥Sophos¥Update Manager
  ConfigCID.exe ¥¥SUMサーバ名¥SophosUpdate¥CIDs¥Sxxx¥Windows版製品名
  上記にはMR配下のサブスクリプションに対応するアドレスを入力します。
  

実行時の出力で「mrinit.conf」が追加されること、「Success」が出力されることを確認します。

上記が完了したら、MR配下のクライアントポリシーをエンドポイントに適用します。
例として、ポリシーは下記のような種類に分けると良いのではと思います。

• 通常のポリシー
  • MR本体のポリシー
    • MR配下のポリシー

負荷分散などで複数のUpdateManagerと接続する可能性があるMR構成の場合、上記ConfigCID.exeの適用
を各UpdateManagerごとに実行することを忘れないようにしてください。

確認方法¶

エンドポイントのレジストリを参照することで、MRの適用状況を確認することが出来ます。

• レジストリ
  

  HKEY_LOCAL_MACHINE¥SOFTWARE¥Sophos¥Messaging System¥Router
  または
  HKEY_LOCAL_MACHINE¥SOFTWARE¥Wow6432Node¥Sophos¥Messaging System¥Router
  
  値：ParentAddress
  

上記のデータが変更した「mrinit.conf」の設定と同じであることを確認します。