Organisasi saya memiliki penyebaran besar Symantec Endpoint Protection (SEP) (~ 20k klien) dengan satu instance SEPM yang berjalan di ESX VM. Kami memang memiliki banyak klien jarak jauh yang ditunjuk sebagai Penyedia Pembaruan Grup (GUP) jika memungkinkan.
Apa yang dilaporkan sysadmin kami adalah bahwa perangkat lunak SEP tidak memiliki cara asli untuk membatasi penggunaan bandwidth jaringan. Perlu mengirim pembaruan definisi 'lengkap' ke setiap klien, beberapa ratus Mbyte. Kami menemukan bahwa SEPM secara praktis akan menerima 1000 permintaan klien check-in, dan akan mengirim semua pembaruan klien pada kecepatan data maksimum yang mungkin.
Kami membutuhkan beberapa cara untuk mengurangi jumlah bandwidth yang digunakan oleh SEPM untuk memperbarui klien secara native, sehingga ada ruang kepala pada koneksi jaringannya untuk lalu lintas manajemen (remote masuk, periksa konsol SEP, dll).
Sejauh ini, untuk mengurangi banjir seluruh jaringan, kami telah membatasi lalu lintas SEPM secara eksternal (pada level VM dan switching), yang berfungsi untuk mencegah kemacetan di jaringan head-end. Namun, itu tidak akan menjamin bandwidth untuk lalu lintas manajemen.
Kami ingin menerapkan beberapa perubahan pada tingkat OS atau aplikasi untuk membatasi lalu lintas tanpa perlu beberapa penerapan QoS kelas berat di 100-an kantor. Idealnya, kami ingin dapat membatasi jumlah lalu lintas yang digunakan per klien untuk pembaruan SEP.
Tolong beri tahu saya jika Anda memiliki ide bagaimana mencapai tujuan ini.
Jawaban:
Saya pikir solusi terbaik Anda adalah mengonfigurasi klien jarak jauh Anda ke:
hanya menarik pembaruan dari GUP di setiap situs jarak jauh, membatasi bandwidth pada GUP menggunakan pengaturan kebijakan LiveUpdate
atau
biarkan klien jarak jauh Anda langsung pergi ke Symantec untuk pembaruan dan tidak ke server SEPM Anda
Artikel ini akan membantu Anda mengkonfigurasinya dengan cara pertama- symantec.com/business/support/… :
Jika Anda memiliki begitu banyak situs jarak jauh yang mengelola GUP di setiap situs adalah sakit kepala, maka saya akan memilih opsi kedua.
Sayangnya, Symantec tampaknya tidak memiliki cara bawaan untuk membatasi bandwidth pada klien jarak jauh secara langsung, hanya pada klien GUP.
sumber
Anda dapat membatasi bandwidth proses SEP Manager menggunakan fitur QoS berbasis kebijakan yang dibangun ke dalam Windows Server 2008 dan yang lebih baru.
Masuk ke server dan buka
gpedit.msc
.Arahkan ke
Computer Configuration\Windows Settings\Policy-based QoS
.Klik kanan
Policy-based QoS
dan klikCreate new policy...
Untuk Nama Kebijakan, masukkan
SEPM Throttling
.Hapus centang
Specify DSCP Value
.Periksa
Specify Outbound Throttle Rate
.Masukkan tingkat maksimum yang diinginkan dalam megabit per detik, dan pilih
Mbps
(bukanKbps
) dari daftar dropdown.Klik
Next
.Klik
Only appliations with this executable name
.Masukkan nama proses server web SEPM (mungkin
httpd.exe
).Klik
Next
dua kali, lalu klikFinish
.sumber