Manajemen volume lalu lintas Symantec Endpoint Protection (SEP / SEPM)

8

Organisasi saya memiliki penyebaran besar Symantec Endpoint Protection (SEP) (~ 20k klien) dengan satu instance SEPM yang berjalan di ESX VM. Kami memang memiliki banyak klien jarak jauh yang ditunjuk sebagai Penyedia Pembaruan Grup (GUP) jika memungkinkan.

Apa yang dilaporkan sysadmin kami adalah bahwa perangkat lunak SEP tidak memiliki cara asli untuk membatasi penggunaan bandwidth jaringan. Perlu mengirim pembaruan definisi 'lengkap' ke setiap klien, beberapa ratus Mbyte. Kami menemukan bahwa SEPM secara praktis akan menerima 1000 permintaan klien check-in, dan akan mengirim semua pembaruan klien pada kecepatan data maksimum yang mungkin.

Kami membutuhkan beberapa cara untuk mengurangi jumlah bandwidth yang digunakan oleh SEPM untuk memperbarui klien secara native, sehingga ada ruang kepala pada koneksi jaringannya untuk lalu lintas manajemen (remote masuk, periksa konsol SEP, dll).

Sejauh ini, untuk mengurangi banjir seluruh jaringan, kami telah membatasi lalu lintas SEPM secara eksternal (pada level VM dan switching), yang berfungsi untuk mencegah kemacetan di jaringan head-end. Namun, itu tidak akan menjamin bandwidth untuk lalu lintas manajemen.

Kami ingin menerapkan beberapa perubahan pada tingkat OS atau aplikasi untuk membatasi lalu lintas tanpa perlu beberapa penerapan QoS kelas berat di 100-an kantor. Idealnya, kami ingin dapat membatasi jumlah lalu lintas yang digunakan per klien untuk pembaruan SEP.

Tolong beri tahu saya jika Anda memiliki ide bagaimana mencapai tujuan ini.

trp
sumber
Ditemukan artikel ini, akan mencoba beberapa ide di dalamnya: symantec.com/connect/articles/…
trp
Petunjuk dalam artikel ini tidak bagus dengan versi SEP baru, karena mereka beralih webserver ke Apache.
trp
Saya bekerja dengan SEPM dan Windows dan QoS adalah satu-satunya cara untuk melakukan apa yang Anda minta. Namun, SEP seharusnya tidak meminta unduhan def penuh setiap kali. Kecuali SEPM dan GUP-nya hanya diatur untuk menahan <5 defs. Pastikan mereka memegang setidaknya 10, karena ada pembaruan default 4 def / hari
Lizz
2
symantec.com/business/support/… - Set "Waktu maksimum klien mencoba mengunduh pembaruan dari Penyedia Pembaruan Grup sebelum mencoba server manajemen default" ke Never. Anda juga dapat throttle bandwidth pada GUPS jika mereka masih menuntut terlalu banyak dengan pengaturan "bandwidth maksimum yang diperbolehkan untuk Grup Perbarui download Provider dari server manajemen"
Agustus
1
Terima kasih, itu banyak membantu juga. Itu masih belum mencakup kasus di mana tidak ada GUP tersedia. Saya ingin dapat mengontrol jumlah bandwidth yang digunakan oleh SEPM per klien terlepas dari status GUP-nya. (Bisakah semua host ditandai sebagai GUP dan dibatasi dengan opsi unduhan maksimum di sini?)
trp

Jawaban:

2

Saya pikir solusi terbaik Anda adalah mengonfigurasi klien jarak jauh Anda ke:

  1. hanya menarik pembaruan dari GUP di setiap situs jarak jauh, membatasi bandwidth pada GUP menggunakan pengaturan kebijakan LiveUpdate

    atau

  2. biarkan klien jarak jauh Anda langsung pergi ke Symantec untuk pembaruan dan tidak ke server SEPM Anda

Artikel ini akan membantu Anda mengkonfigurasinya dengan cara pertama- symantec.com/business/support/… :

  • Setel "Waktu maksimum klien mencoba mengunduh pembaruan dari Penyedia Pembaruan Grup sebelum mencoba server manajemen default" menjadi Tidak Pernah.
  • Anda juga dapat membatasi bandwidth pada GUP jika masih menuntut terlalu banyak dengan pengaturan "Bandwidth maksimum diizinkan untuk unduhan Penyedia Pembaruan Grup dari server manajemen"

Jika Anda memiliki begitu banyak situs jarak jauh yang mengelola GUP di setiap situs adalah sakit kepala, maka saya akan memilih opsi kedua.

Sayangnya, Symantec tampaknya tidak memiliki cara bawaan untuk membatasi bandwidth pada klien jarak jauh secara langsung, hanya pada klien GUP.

Agustus
sumber
5

Anda dapat membatasi bandwidth proses SEP Manager menggunakan fitur QoS berbasis kebijakan yang dibangun ke dalam Windows Server 2008 dan yang lebih baru.

  1. Masuk ke server dan buka gpedit.msc.

  2. Arahkan ke Computer Configuration\Windows Settings\Policy-based QoS.

  3. Klik kanan Policy-based QoSdan klikCreate new policy...

  4. Untuk Nama Kebijakan, masukkan SEPM Throttling.

  5. Hapus centang Specify DSCP Value.

  6. Periksa Specify Outbound Throttle Rate.

  7. Masukkan tingkat maksimum yang diinginkan dalam megabit per detik, dan pilih Mbps(bukan Kbps) dari daftar dropdown.

  8. Klik Next.

  9. Klik Only appliations with this executable name.

  10. Masukkan nama proses server web SEPM (mungkin httpd.exe).

  11. Klik Nextdua kali, lalu klik Finish.

Skyhawk
sumber
Apa pun nilainya, SEP cenderung lebih bermasalah daripada produk antivirus perusahaan lainnya. SEP tidak dapat dikonfigurasi dengan baik, memiliki overhead CPU / jaringan / disk yang berlebihan, dan dapat menyebabkan masalah serius pada server yang sibuk dengan pemanfaatan CPU yang tinggi (terutama server terminal), bahkan dengan pengecualian yang terkonfigurasi. Saya lebih suka merekomendasikan ESET kepada klien saya.
Skyhawk
terima kasih atas tipnya! Ini masih tidak menyelesaikan masalah pelambatan bandwidth / per klien /, hanya total bandwidth yang digunakan oleh server (yang kita dapatkan melalui pelambatan di VM). Kita perlu menghindari baik mencekik jaringan server dan juga mencekik jaringan klien.
trp