web-dev-qa-db-ja.com

Symantec Endpoint Protection(SEP / SEPM)トラフィック量管理

私の組織では、ESXVMで実行されている単一のSEPMインスタンスを使用してSymantecEndpoint Protection(SEP)(〜20kクライアント)を大規模に展開しています。可能な場合は、グループ更新プロバイダー(GUP)として指定された多くのリモートクライアントがあります。

私たちのシステム管理者が報告したことは、SEPソフトウェアには、ネットワーク帯域幅の使用を抑制するネイティブな方法がないということです。すべてのクライアントに「完全な」定義の更新を送信する必要があります。サイズはメガバイト。SEPMは実際には数千のクライアントチェックイン要求を受け入れ、すべてのクライアントに可能な最大データレートで更新を送信することがわかりました。

SEPMがクライアントをネイティブに更新するために使用する帯域幅の量を減らして、管理トラフィック用のネットワーク接続に余裕を持たせる方法が必要です(リモートイン、SEPコンソールなどを確認) )。

これまで、ネットワーク全体のフラッディングを軽減するために、SEPMトラフィックを外部で(VMおよびスイッチングレベルで)抑制し、ヘッドエンドネットワークでの輻輳を防止するように機能しました。管理トラフィックの帯域幅を保証するものではありません。

OSまたはアプリケーションレベルでいくつかの変更を実装して、数百のオフィスでの大規模なQoS展開を必要とせずにトラフィックを抑制したいと考えています。理想的には、SEP更新のために、クライアントごとに使用されるトラフィックの量を抑制できるようにしたいと思います。

この目標を達成する方法について何かアイデアがあれば教えてください。

windowsvmware-esxisymantec-endpoint-protection
8
trp

最善の解決策は、リモートクライアントを次のいずれかに構成することだと思います。

  1. 各リモートサイトのGUPから更新をプルするだけで、LiveUpdateポリシー設定を使用してGUPの帯域幅を調整します

    または

  2. sEPMサーバーではなく、リモートクライアントが更新のためにSymantecに直接アクセスできるようにするだけです。

この記事は、最初の方法で構成するのに役立ちます symantec.com/business/support/…

  • 「クライアントがデフォルトの管理サーバーを試す前にグループ更新プロバイダーから更新をダウンロードしようとする最大時間」を「しない」に設定します。
  • また、「管理サーバーからのグループ更新プロバイダーのダウンロードに許可される最大帯域幅」の設定を使用して、GUPが依然として要求しすぎる場合は、GUPの帯域幅を調整できます。

リモートサイトが多すぎて各サイトのGUPを管理するのが頭痛の種である場合は、2番目のオプションを選択します。

残念ながら、Symantecには、GUPクライアントでのみ、リモートクライアントの帯域幅を直接調整する組み込みの方法がないようです。

2
August

Windows Server 2008以降に組み込まれているポリシーベースのQoS機能を使用して、SEP Managerプロセスの帯域幅を調整できます。

  1. サーバーにログインし、gpedit.mscを開きます。

  2. Computer Configuration\Windows Settings\Policy-based QoSに移動します。

  3. Policy-based QoSを右クリックし、Create new policy...をクリックします

  4. [ポリシー名]にSEPM Throttlingと入力します。

  5. Specify DSCP Valueのチェックを外します。

  6. Specify Outbound Throttle Rateを確認してください。

  7. 必要な最大レートをメガビット/秒で入力し、ドロップダウンリストから(Mbpsではなく)Kbpsを選択します。

  8. Nextをクリックします。

  9. Only appliations with this executable nameをクリックします。

  10. SEPM Webサーバーのプロセス名(おそらくhttpd.exe)を入力します。

  11. Nextを2回クリックしてから、Finishをクリックします。

5
Skyhawk