Symantec Endpoint Protection（SEP / SEPM）トラフィック量管理

私の組織には、Symantec Endpoint Protection（SEP）の大規模な展開（約2万のクライアント）があり、ESX VMで単一のSEPMインスタンスが実行されています。可能な場合は、グループ更新プロバイダー（GUP）として指定された多くのリモートクライアントがあります。

私たちのシステム管理者が報告したのは、SEPソフトウェアにはネットワーク帯域幅の使用を抑制するネイティブの方法がないということです。サイズが数百Mバイトのすべてのクライアントに「完全な」定義更新を送信する必要があります。SEPMは実際には数千のクライアントチェックインリクエストを受け入れ、すべてのクライアントの更新を可能な最大のデータレートで送信することがわかりました。

SEPMがクライアントをネイティブに更新するために使用する帯域幅の量を減らす何らかの方法が必要です。これにより、ネットワーク接続に管理トラフィック（リモート、SEPコンソールなどを確認）のためのヘッドルームがあります。

これまでのところ、ネットワーク全体のフラッディングを軽減するために、SEPMトラフィックを外部で（VMレベルとスイッチングレベルで）スロットルしており、これはヘッドエンドネットワークでの輻輳を防ぐために機能します。ただし、それによって管理トラフィックの帯域幅が保証されるわけではありません。

OSまたはアプリケーションレベルでいくつかの変更を実装して、何百ものオフィスでの大規模なQoS展開を必要とせずにトラフィックを抑制したいと考えています。理想的には、SEP更新のためにクライアントごとに使用されるトラフィック量を抑制できるようにしたいと考えています。

この目標を達成する方法について何かご意見がありましたらお知らせください。

私はあなたの最善の解決策はリモートクライアントを次のいずれかに設定することだと思います：

1. 各リモートサイトのGUPから更新のみをプルし、LiveUpdateポリシー設定を使用してGUPの帯域幅を抑制します。

   または

2. リモートクライアントを、SEPMサーバーではなく、シマンテックに直接アップデートしてもらいます。

この記事は、最初の方法で構成するのに役立ちます-symantec.com/business/support/…：

• 「デフォルトの管理サーバーを試す前にクライアントがグループ更新プロバイダーから更新をダウンロードしようとする最大時間」を「しない」に設定します。
• また、「管理サーバーからのグループ更新プロバイダーのダウンロードに許可される最大帯域幅」の設定を使用して、GUPの要求が多すぎる場合にGUPの帯域幅を調整することもできます。

リモートサイトが多く、各サイトでGUPを管理するのが頭痛の種である場合は、2番目のオプションを選択します。

残念ながら、シマンテックには、リモートクライアントの帯域幅を直接調整する組み込みの方法はなく、GUPクライアントでのみ使用できるようです。

Windows Server 2008以降に組み込まれているポリシーベースのQoS機能を使用して、SEPマネージャープロセスの帯域幅を調整できます。

1. サーバーにログインして開きgpedit.mscます。

2. に移動しComputer Configuration\Windows Settings\Policy-based QoSます。

3. 右クリックしPolicy-based QoSてクリックCreate new policy...

4. [ポリシー名]にと入力しSEPM Throttlingます。

5. チェックを外しますSpecify DSCP Value。

6. 確認してくださいSpecify Outbound Throttle Rate。

7. 希望する最大レートをメガビット/秒で入力し、ドロップダウンリストからMbps（の代わりにKbps）を選択します。

8. をクリックしNextます。

9. をクリックしOnly appliations with this executable nameます。

10. SEPM Webサーバーのプロセス名を入力します（おそらくhttpd.exe）。

11. Next2回クリックしてから、をクリックしますFinish。