Configuration agent TMCM sur OfficeScan v 10.x et 11.x

Configuration
agent TMCM
sur OfficeScan
v 10.x et 11.x
Préconisations Académiques
Nantes
Cellule Technique des Réseaux d'Établissements
DSI-D2
Rectorat de Nantes
1.
Rédacteur : Christian Le Breton
Projet : Antivirus / Wsus établissement
Date de Mise à Jour : 17/02/2015
Version : 2
Présentation
Dans chaque lycée de l'académie de Nantes on trouve actuellement une « console OfficeScan » centralisant les
mises à jour et la surveillance de l’état d’infection des stations.
Dans le but d’harmoniser les configurations et les mises à jour ainsi que d’obtenir, au niveau des équipes
d’assistance, des informations sur "l’état des établissements", un serveur central (hébergé au rectorat),
hébergeant l'application "Control Manager" (TMCM) permet la supervision des consoles en établissements :
-
les serveurs OfficeScan en établissements ne sont plus isolés, risquant des lacunes de paramétrages,
les mises à jour sont "poussées" par le serveur central,
en cas d'absence de personne ressource locale, la surveillance et l’assistance peuvent se poursuivre en
central (accès aux consoles locales, remontée de logs)…
Quelques pré-requis sont nécessaires pour la mise en place optimale de ce dispositif :
-
2.
les postes en établissements doivent atteindre le serveur central, préférentiellement par RVP (celui-ci étant
situé sur la dmz "Intranet-1" du rectorat), mais l'accès par l'Internet reste possible.
le serveur de supervision doit pouvoir joindre directement les serveurs en établissements :
o dans l'architecture "amon/slis", l'adressage du réseau pédagogique étant identique d'un
établissement à l'autre et, de fait, non routable, les serveurs antivirus d'établissements doivent être
placés en DMZ "interco" (entre amon et slis).
o dans le cas contraire, à moins de paramétrer une "redirection de port", on obtient un fonctionnement
« dégradé »: la console antivirus remonte ses infos à la supervision mais les notifications ne sont pas
immédiates et l'administration distante (à partir de la supervision) n'est pas possible…
Paramétrage agent TMCM
Afin d'enregistrer une console OfficeScan dans la supervision TMCM, on doit renseigner les paramètres
"ControlManager".
Dans la console OfficeScan, ouvrir le menu [administration] > [paramètres de Control Manager]
Nom de l'agent
dans tmcm
Serveur / port
ControlManager
Eventuellement
proxy / port
Eventuellement
redirection
A l'heure actuelle, plusieurs infrastructures réseau pouvant être rencontrées en établissement, le paramétrage de
l'agent de supervision doit être adapté à chaque situation.
AC Nantes\DSI\D2\CTRE : Préconisations Académiques
Page : 2 / 6
Rédacteur : Christian Le Breton
Projet : Antivirus / Wsus établissement
Date de Mise à Jour : 17/02/2015
Version : 2
2.1. Etablissements sans serveur Amon
C'est le cas des lycées agricoles par exemple. Sans Amon, les tunnels RVP n'étant pas montés vers le rectorat, le
serveur de supervision ne peut être atteint sur son adresse privée :
o
o
o
o
o
nom de l'agent : remplacer le nom proposé par [RNE-établissement]-UPDATE
serveur ControlManager : "tmcm-etab. ac-nantes.fr" (laisser "https" et le port 443 par défaut)
paramètres proxy : suivant votre architecture indiquer l’IP et le port de votre serveur proxy
(éventuellement l'authentification).
transfert de ports : si une redirection de port est paramétrée sur le proxy ou le routeur, indiquer son
IP publique ainsi que le port 4343 (ceci afin d'administrer de l'extérieur la console sur le port 4343)
cliquer sur [Tester la connexion] puis sur [enregistrer]
2.2. Etablissements avec serveurs Amon et Slis
On se trouve ici dans "l'ancienne architecture réseau", déployée depuis 1999/2000 sur les réseaux pédagogiques,
avec un plan d'adressage identique sur l'ensemble des établissements (172.17.0.0 / 16).
Deux cas peuvent se présenter :
2.2.1. Serveur antivirus sur le réseau pédagogique
On suppose que le serveur antivirus remplit d'autres
fonctions (type contrôleur de domaine…).
Il ne peut alors se trouver que sur le réseau
pédagogique, "derrière le Slis".
Pour des raisons de cohérence, cette infrastructure n'est plus supportée : le serveur
antivirus doit répondre aux préconisations du § 2.2.2
AC Nantes\DSI\D2\CTRE : Préconisations Académiques
Page : 3 / 6
Rédacteur : Christian Le Breton
Projet : Antivirus / Wsus établissement
Date de Mise à Jour : 17/02/2015
Version : 2
2.2.2. serveur antivirus en "DMZ interco"
Le serveur étant dédié à l'antivirus (et
éventuellement
a
d'autres
fonctions
"mutualisables") il est placé sur la "DMZ interco"
: entre Amon et Slis.
La plage d'adresses est unique sur l'académie :
10.1dep.chrono.0 /25 ("dep" = n° de
département, "chrono" = n° établissement).
Au niveau de la communication avec la dmz du
rectorat (tunnel RVP), on se trouve ici dans un
cas
comparable
au
suivant
(nouvelle
architecture).
o
o
o
o
o
nom de l'agent : remplacer le nom proposé par [RNE-établissement]-UPDATE
serveur ControlManager :
 "tmcm-etab.in.ac-nantes.fr"
 décocher [https] et remplacer le port 443 par "80"
paramètres proxy : pas de proxy
transfert de ports : AUCUNE REDIRECTION n'est à paramétrer
cliquer sur [Tester la connexion] puis sur [enregistrer]
2.3. Etablissements avec serveur Amon / pas de Slis
On se trouve ici dans "la nouvelle
architecture réseau", déployée depuis fin
2010 sur les réseaux pédagogiques.
Le plan d'adressage est personnalisé à
chaque établissement.
Le serveur antivirus est dans ce cas déployé
sur la dmz privée, sur une plage
10.1dep.chrono.0 /26 (ou /25 sans vlans).
o
o
o
o
o
nom de l'agent : remplacer le nom proposé par [RNE-établissement]-UPDATE
serveur ControlManager :
 "tmcm-etab.in.ac-nantes.fr"
 décocher [https] et remplacer le port 443 par "80"
paramètres proxy : pas de proxy
transfert de ports : AUCUNE REDIRECTION n'est à paramétrer
cliquer sur [Tester la connexion] puis sur [enregistrer]
AC Nantes\DSI\D2\CTRE : Préconisations Académiques
Page : 4 / 6
3.
Rédacteur : Christian Le Breton
Projet : Antivirus / Wsus établissement
Date de Mise à Jour : 17/02/2015
Version : 2
Adaptation configuration OfficeScan
Les paramètres préconisés sur le document d'installation de la console OfficeScan sont conservés dans
leur ensemble.
Par contre, du fait de la supervision, les mises à jour automatiques du serveur local deviennent moins
critiques : c'est le serveur central de supervision qui notifie ses "agents" en établissement.
On peut toutefois conserver cette fonctionnalité, toujours utile en cas de dysfonctionnement ou de perte
de connectivité rvp, mais en diminuant sa fréquence (1 par jour suffit en général).
On peut vérifier (après un "certain délai") le bon fonctionnement des notifications en provenance de la
supervision :
o
dans la console OfficeScan, ouvrir le menu "journaux" puis "mise à jour du serveur"
o
dans la colonne "Méthode de mise à jour", "Control Manager" doit remplacer "Mise à jour
programmée"
o
remarque : il n'est pas anormal que des mises à jour programmées continuent de se produire, du fait
qu'elles peuvent ponctuellement avoir lieu entre deux notifications de control manager.
AC Nantes\DSI\D2\CTRE : Préconisations Académiques
Page : 5 / 6
4.
Rédacteur : Christian Le Breton
Projet : Antivirus / Wsus établissement
Date de Mise à Jour : 17/02/2015
Version : 2
Optimisation de la synchronisation :
La synchronisation d'un grand nombre de consoles OfficeScan sur la supervision Control Manager peut
entrainer des latences importantes de cette dernière. Une optimisation est possible côté agent
OfficeScan :
Sur le serveur OfficeScan, se placer sur le dossier ..\ TrendMicro\OfficeScan\PCCSRV\CmAgent\
1. Ouvrir le fichier Agent.ini
 A la fin de la section [Network], modifier si besoin le paramètre suivant :
HttpTimeoutSec = 300
 Enregistrer et fermer le fichier.
2. Ouvrir le fichier Product.ini
 A la section [Configure], insérer les lignes suivantes :
ClientInfoPollingInterval = 600
BatchedClientStatusCommandSize = 50
BatchedClientSize = 50
 Enregistrer et fermer le fichier.
3. Redémarrer le service "Agent OfficeScan Control Manager".
Traduction libre de la base de connaissances TrendMicro : http://esupport.trendmicro.com/solution/en-us/1059861.aspx
AC Nantes\DSI\D2\CTRE : Préconisations Académiques
Page : 6 / 6