Configuration agent TMCM sur OfficeScan v 10.x et 11.x
Transcription
Configuration agent TMCM sur OfficeScan v 10.x et 11.x
Configuration agent TMCM sur OfficeScan v 10.x et 11.x Préconisations Académiques Nantes Cellule Technique des Réseaux d'Établissements DSI-D2 Rectorat de Nantes 1. Rédacteur : Christian Le Breton Projet : Antivirus / Wsus établissement Date de Mise à Jour : 17/02/2015 Version : 2 Présentation Dans chaque lycée de l'académie de Nantes on trouve actuellement une « console OfficeScan » centralisant les mises à jour et la surveillance de l’état d’infection des stations. Dans le but d’harmoniser les configurations et les mises à jour ainsi que d’obtenir, au niveau des équipes d’assistance, des informations sur "l’état des établissements", un serveur central (hébergé au rectorat), hébergeant l'application "Control Manager" (TMCM) permet la supervision des consoles en établissements : - les serveurs OfficeScan en établissements ne sont plus isolés, risquant des lacunes de paramétrages, les mises à jour sont "poussées" par le serveur central, en cas d'absence de personne ressource locale, la surveillance et l’assistance peuvent se poursuivre en central (accès aux consoles locales, remontée de logs)… Quelques pré-requis sont nécessaires pour la mise en place optimale de ce dispositif : - 2. les postes en établissements doivent atteindre le serveur central, préférentiellement par RVP (celui-ci étant situé sur la dmz "Intranet-1" du rectorat), mais l'accès par l'Internet reste possible. le serveur de supervision doit pouvoir joindre directement les serveurs en établissements : o dans l'architecture "amon/slis", l'adressage du réseau pédagogique étant identique d'un établissement à l'autre et, de fait, non routable, les serveurs antivirus d'établissements doivent être placés en DMZ "interco" (entre amon et slis). o dans le cas contraire, à moins de paramétrer une "redirection de port", on obtient un fonctionnement « dégradé »: la console antivirus remonte ses infos à la supervision mais les notifications ne sont pas immédiates et l'administration distante (à partir de la supervision) n'est pas possible… Paramétrage agent TMCM Afin d'enregistrer une console OfficeScan dans la supervision TMCM, on doit renseigner les paramètres "ControlManager". Dans la console OfficeScan, ouvrir le menu [administration] > [paramètres de Control Manager] Nom de l'agent dans tmcm Serveur / port ControlManager Eventuellement proxy / port Eventuellement redirection A l'heure actuelle, plusieurs infrastructures réseau pouvant être rencontrées en établissement, le paramétrage de l'agent de supervision doit être adapté à chaque situation. AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 2 / 6 Rédacteur : Christian Le Breton Projet : Antivirus / Wsus établissement Date de Mise à Jour : 17/02/2015 Version : 2 2.1. Etablissements sans serveur Amon C'est le cas des lycées agricoles par exemple. Sans Amon, les tunnels RVP n'étant pas montés vers le rectorat, le serveur de supervision ne peut être atteint sur son adresse privée : o o o o o nom de l'agent : remplacer le nom proposé par [RNE-établissement]-UPDATE serveur ControlManager : "tmcm-etab. ac-nantes.fr" (laisser "https" et le port 443 par défaut) paramètres proxy : suivant votre architecture indiquer l’IP et le port de votre serveur proxy (éventuellement l'authentification). transfert de ports : si une redirection de port est paramétrée sur le proxy ou le routeur, indiquer son IP publique ainsi que le port 4343 (ceci afin d'administrer de l'extérieur la console sur le port 4343) cliquer sur [Tester la connexion] puis sur [enregistrer] 2.2. Etablissements avec serveurs Amon et Slis On se trouve ici dans "l'ancienne architecture réseau", déployée depuis 1999/2000 sur les réseaux pédagogiques, avec un plan d'adressage identique sur l'ensemble des établissements (172.17.0.0 / 16). Deux cas peuvent se présenter : 2.2.1. Serveur antivirus sur le réseau pédagogique On suppose que le serveur antivirus remplit d'autres fonctions (type contrôleur de domaine…). Il ne peut alors se trouver que sur le réseau pédagogique, "derrière le Slis". Pour des raisons de cohérence, cette infrastructure n'est plus supportée : le serveur antivirus doit répondre aux préconisations du § 2.2.2 AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 3 / 6 Rédacteur : Christian Le Breton Projet : Antivirus / Wsus établissement Date de Mise à Jour : 17/02/2015 Version : 2 2.2.2. serveur antivirus en "DMZ interco" Le serveur étant dédié à l'antivirus (et éventuellement a d'autres fonctions "mutualisables") il est placé sur la "DMZ interco" : entre Amon et Slis. La plage d'adresses est unique sur l'académie : 10.1dep.chrono.0 /25 ("dep" = n° de département, "chrono" = n° établissement). Au niveau de la communication avec la dmz du rectorat (tunnel RVP), on se trouve ici dans un cas comparable au suivant (nouvelle architecture). o o o o o nom de l'agent : remplacer le nom proposé par [RNE-établissement]-UPDATE serveur ControlManager : "tmcm-etab.in.ac-nantes.fr" décocher [https] et remplacer le port 443 par "80" paramètres proxy : pas de proxy transfert de ports : AUCUNE REDIRECTION n'est à paramétrer cliquer sur [Tester la connexion] puis sur [enregistrer] 2.3. Etablissements avec serveur Amon / pas de Slis On se trouve ici dans "la nouvelle architecture réseau", déployée depuis fin 2010 sur les réseaux pédagogiques. Le plan d'adressage est personnalisé à chaque établissement. Le serveur antivirus est dans ce cas déployé sur la dmz privée, sur une plage 10.1dep.chrono.0 /26 (ou /25 sans vlans). o o o o o nom de l'agent : remplacer le nom proposé par [RNE-établissement]-UPDATE serveur ControlManager : "tmcm-etab.in.ac-nantes.fr" décocher [https] et remplacer le port 443 par "80" paramètres proxy : pas de proxy transfert de ports : AUCUNE REDIRECTION n'est à paramétrer cliquer sur [Tester la connexion] puis sur [enregistrer] AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 4 / 6 3. Rédacteur : Christian Le Breton Projet : Antivirus / Wsus établissement Date de Mise à Jour : 17/02/2015 Version : 2 Adaptation configuration OfficeScan Les paramètres préconisés sur le document d'installation de la console OfficeScan sont conservés dans leur ensemble. Par contre, du fait de la supervision, les mises à jour automatiques du serveur local deviennent moins critiques : c'est le serveur central de supervision qui notifie ses "agents" en établissement. On peut toutefois conserver cette fonctionnalité, toujours utile en cas de dysfonctionnement ou de perte de connectivité rvp, mais en diminuant sa fréquence (1 par jour suffit en général). On peut vérifier (après un "certain délai") le bon fonctionnement des notifications en provenance de la supervision : o dans la console OfficeScan, ouvrir le menu "journaux" puis "mise à jour du serveur" o dans la colonne "Méthode de mise à jour", "Control Manager" doit remplacer "Mise à jour programmée" o remarque : il n'est pas anormal que des mises à jour programmées continuent de se produire, du fait qu'elles peuvent ponctuellement avoir lieu entre deux notifications de control manager. AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 5 / 6 4. Rédacteur : Christian Le Breton Projet : Antivirus / Wsus établissement Date de Mise à Jour : 17/02/2015 Version : 2 Optimisation de la synchronisation : La synchronisation d'un grand nombre de consoles OfficeScan sur la supervision Control Manager peut entrainer des latences importantes de cette dernière. Une optimisation est possible côté agent OfficeScan : Sur le serveur OfficeScan, se placer sur le dossier ..\ TrendMicro\OfficeScan\PCCSRV\CmAgent\ 1. Ouvrir le fichier Agent.ini A la fin de la section [Network], modifier si besoin le paramètre suivant : HttpTimeoutSec = 300 Enregistrer et fermer le fichier. 2. Ouvrir le fichier Product.ini A la section [Configure], insérer les lignes suivantes : ClientInfoPollingInterval = 600 BatchedClientStatusCommandSize = 50 BatchedClientSize = 50 Enregistrer et fermer le fichier. 3. Redémarrer le service "Agent OfficeScan Control Manager". Traduction libre de la base de connaissances TrendMicro : http://esupport.trendmicro.com/solution/en-us/1059861.aspx AC Nantes\DSI\D2\CTRE : Préconisations Académiques Page : 6 / 6