Управление объемом трафика Symantec Endpoint Protection (SEP / SEPM)

8

В моей организации развернуто развертывание Symantec Endpoint Protection (SEP) (~ 20 тыс. Клиентов) с одним экземпляром SEPM, работающим на виртуальной машине ESX. У нас есть много удаленных клиентов, назначенных провайдерами обновления групп (GUP), где это возможно.

Наши системные администраторы сообщили, что у программного обеспечения SEP нет никакого собственного способа ограничить использование пропускной способности сети. Необходимо отправить «полное» обновление определения каждому клиенту, размером в несколько сотен мегабайт. Мы обнаружили, что SEPM практически примет тысячи запросов на регистрацию клиентов и отправит всем клиентам обновления с максимально возможной скоростью передачи данных.

Нам нужен какой-то способ уменьшения полосы пропускания, используемой SEPM для собственного обновления клиентов, чтобы в его сетевом соединении имелся запас для управления трафиком (удаленный доступ, проверка консоли SEP и т. Д.).

До сих пор, чтобы уменьшить затопление всей сети, мы ограничили трафик SEPM внешне (на уровне виртуальной машины и на уровне коммутации), что предотвращает перегрузку в головной сети. Однако это не гарантирует пропускную способность для трафика управления.

Мы хотели бы внести некоторые изменения на уровне ОС или приложений, чтобы ограничить трафик без необходимости какого-либо тяжелого развертывания QoS в сотнях офисов. В идеале мы хотели бы иметь возможность регулировать объем трафика, используемого каждым клиентом для обновлений SEP.

Пожалуйста, дайте мне знать, если у вас есть идеи, как достичь этой цели.

windows vmware-esxi symantec-endpoint-protection ГТО
источник
Нашел эту статью, попробую некоторые идеи в ней: symantec.com/connect/articles/…
trp
Подсказки в статье не годятся для новой версии SEP, поскольку они переключают веб-серверы на Apache.
trp
Я работаю с SEPM и Windows, и QoS - единственный способ сделать то, что вы просите. Однако SEP не следует каждый раз запрашивать полную загрузку по умолчанию. Если только SEPM и его GUP не установлены на <5 определений. Убедитесь, что они содержат не менее 10, так как по умолчанию есть 4 обновления в день
Lizz
2
symantec.com/business/support/… - Установите «Максимальное время, в течение которого клиенты пытаются загрузить обновления от поставщика обновлений группы, прежде чем пытаться использовать сервер управления по умолчанию», - Никогда. Кроме того, вы можете регулировать пропускную способность на GUP, если они по-прежнему требуют слишком много, с помощью параметра «Максимальная пропускная способность, разрешенная для загрузок поставщика обновлений группы с сервера управления»
августа
1
Спасибо, это тоже очень помогает. Это все еще не покрывает случай, когда нет доступного GUP. Я хочу иметь возможность контролировать количество полосы пропускания, используемой SEPM для каждого клиента, независимо от его статуса GUP. (Могут ли все хосты быть помечены как GUP и регулироваться с помощью опции максимальной загрузки здесь?)
trp

Ответы:

2

Я думаю, что ваше лучшее решение - это настроить ваши удаленные клиенты на:

  1. получать только обновления из GUP на каждом удаленном сайте, регулируя пропускную способность GUP с помощью параметров политики LiveUpdate

    или

  2. просто позволяйте удаленным клиентам получать обновления непосредственно в Symantec, а не на сервер SEPM

Эта статья поможет вам настроить его следующим образом : symantec.com/business/support/…

  • Установите для параметра «Максимальное время, в течение которого клиенты пытаются загружать обновления из поставщика обновлений группы, прежде чем использовать сервер управления по умолчанию», значение «Никогда».
  • Кроме того, вы можете регулировать пропускную способность на GUP, если они по-прежнему требуют слишком много, с помощью параметра «Максимальная пропускная способность, разрешенная для загрузок поставщика обновлений группы с сервера управления».

Если у вас так много удаленных сайтов, что управление GUP на каждом сайте является головной болью, то я бы выбрал второй вариант.

К сожалению, у Symantec, похоже, нет встроенного способа регулирования пропускной способности на удаленных клиентах напрямую, только на клиентах GUP.

августейший
источник
5

Вы можете регулировать пропускную способность процесса SEP Manager с помощью функций QoS на основе политик, которые встроены в Windows Server 2008 и новее.

  1. Войдите на сервер и откройте gpedit.msc.

  2. Перейдите к Computer Configuration\Windows Settings\Policy-based QoS.

  3. Щелкните правой кнопкой мыши Policy-based QoSи выберитеCreate new policy...

  4. В качестве имени политики введите SEPM Throttling.

  5. Снимите флажок Specify DSCP Value.

  6. Проверьте Specify Outbound Throttle Rate.

  7. Введите желаемую максимальную скорость в мегабитах в секунду и выберите Mbps(вместо Kbps) из выпадающего списка.

  8. Нажмите Next.

  9. Нажмите Only appliations with this executable name.

  10. Введите имя процесса веб-сервера SEPM (возможно httpd.exe).

  11. Нажмите Nextдважды, затем нажмите Finish.

штурмовик типа "Скайхки"
источник
Во всяком случае, SEP имеет тенденцию быть более проблематичным, чем некоторые другие корпоративные антивирусные продукты. SEP недостаточно настраивается, имеет чрезмерную нагрузку на ЦП / сеть / диск и может вызвать серьезные проблемы на загруженных серверах с высокой загрузкой ЦП (особенно на терминальных серверах), даже с настроенными нормальными исключениями. Я предпочитаю рекомендовать ESET своим клиентам.
Skyhawk
Спасибо за совет! Это все еще не решает проблему регулирования пропускной способности / на клиента /, а только общую пропускную способность, используемую сервером (которую мы получаем посредством регулирования на ВМ). Нам нужно избегать как удушения сети сервера, так и удушения сетей клиентов.
trp