私の組織では、ESXVMで実行されている単一のSEPMインスタンスを使用してSymantecEndpoint Protection(SEP)(〜20kクライアント)を大規模に展開しています。可能な場合は、グループ更新プロバイダー(GUP)として指定された多くのリモートクライアントがあります。
私たちのシステム管理者が報告したことは、SEPソフトウェアには、ネットワーク帯域幅の使用を抑制するネイティブな方法がないということです。すべてのクライアントに「完全な」定義の更新を送信する必要があります。サイズはメガバイト。SEPMは実際には数千のクライアントチェックイン要求を受け入れ、すべてのクライアントに可能な最大データレートで更新を送信することがわかりました。
SEPMがクライアントをネイティブに更新するために使用する帯域幅の量を減らして、管理トラフィック用のネットワーク接続に余裕を持たせる方法が必要です(リモートイン、SEPコンソールなどを確認) )。
これまで、ネットワーク全体のフラッディングを軽減するために、SEPMトラフィックを外部で(VMおよびスイッチングレベルで)抑制し、ヘッドエンドネットワークでの輻輳を防止するように機能しました。管理トラフィックの帯域幅を保証するものではありません。
OSまたはアプリケーションレベルでいくつかの変更を実装して、数百のオフィスでの大規模なQoS展開を必要とせずにトラフィックを抑制したいと考えています。理想的には、SEP更新のために、クライアントごとに使用されるトラフィックの量を抑制できるようにしたいと思います。
この目標を達成する方法について何かアイデアがあれば教えてください。
最善の解決策は、リモートクライアントを次のいずれかに構成することだと思います。
各リモートサイトのGUPから更新をプルするだけで、LiveUpdateポリシー設定を使用してGUPの帯域幅を調整します
または
sEPMサーバーではなく、リモートクライアントが更新のためにSymantecに直接アクセスできるようにするだけです。
この記事は、最初の方法で構成するのに役立ちます symantec.com/business/support/… :
リモートサイトが多すぎて各サイトのGUPを管理するのが頭痛の種である場合は、2番目のオプションを選択します。
残念ながら、Symantecには、GUPクライアントでのみ、リモートクライアントの帯域幅を直接調整する組み込みの方法がないようです。
Windows Server 2008以降に組み込まれているポリシーベースのQoS機能を使用して、SEP Managerプロセスの帯域幅を調整できます。
サーバーにログインし、gpedit.msc
を開きます。
Computer Configuration\Windows Settings\Policy-based QoS
に移動します。
Policy-based QoS
を右クリックし、Create new policy...
をクリックします
[ポリシー名]にSEPM Throttling
と入力します。
Specify DSCP Value
のチェックを外します。
Specify Outbound Throttle Rate
を確認してください。
必要な最大レートをメガビット/秒で入力し、ドロップダウンリストから(Mbps
ではなく)Kbps
を選択します。
Next
をクリックします。
Only appliations with this executable name
をクリックします。
SEPM Webサーバーのプロセス名(おそらくhttpd.exe
)を入力します。
Next
を2回クリックしてから、Finish
をクリックします。