Gerenciamento de volume de tráfego do Symantec Endpoint Protection (SEP / SEPM)

8

Minha organização tem uma grande implantação do Symantec Endpoint Protection (SEP) (~ 20k clientes) com uma única instância do SEPM em execução em uma VM do ESX. Temos muitos clientes remotos designados como GUPs (Group Update Providers, provedores de atualizações de grupo) sempre que possível.

O que nossos administradores relataram é que o software SEP não possui nenhuma maneira nativa de limitar o uso da largura de banda da rede. Ele precisa enviar uma atualização de definição 'completa' para cada cliente, algumas centenas de tamanho Mbyte. Descobrimos que o SEPM praticamente aceita milhares de solicitações de check-in de clientes e enviará todas as atualizações de clientes na taxa de dados máxima possível.

Precisamos de alguma forma de reduzir a quantidade de largura de banda usada pelo SEPM para atualizar os clientes nativamente, para que haja espaço livre em sua conexão de rede para o tráfego de gerenciamento (entrada remota, verifique o console do SEP, etc.)

Até agora, para mitigar a inundação de toda a rede, reduzimos o tráfego do SEPM externamente (na VM e no nível de comutação), o que funciona para evitar o congestionamento na rede principal. No entanto, isso não garante nenhuma largura de banda para o tráfego de gerenciamento.

Gostaríamos de implementar algumas alterações no nível do SO ou do aplicativo para limitar o tráfego sem precisar de uma implantação de QoS pesada em centenas de escritórios. Idealmente, gostaríamos de poder limitar a quantidade de tráfego usada por cliente para atualizações do SEP.

Por favor, deixe-me saber se você tem alguma idéia de como atingir esse objetivo.

    
por trp 22.09.2012 / 17:39

2 respostas

2

Acho que sua melhor solução é configurar seus clientes remotos para:

  1. só obtém atualizações dos GUPs em cada site remoto, limitando a largura de banda no GUP usando as configurações de política do LiveUpdate

    ou

  2. deixe seus clientes remotos irem diretamente para a Symantec em busca de atualizações e não para o seu servidor SEPM

Este artigo ajudará você a configurá-lo da primeira maneira: symantec.com/business/ suporte /… :

  • Definir "Tempo máximo em que os clientes tentam baixar atualizações de um grupo Atualize o Provedor antes de tentar o servidor de gerenciamento padrão "para Nunca.
  • Além disso, você pode controlar a largura de banda dos GUPs se eles ainda estiverem exigindo muito com a configuração "Máxima largura de banda permitida para O Provedor de atualizações de grupo faz o download do servidor de gerenciamento "

Se você tem tantos sites remotos que gerenciar os GUPs em cada site é uma dor de cabeça, eu optaria pela segunda opção.

Infelizmente, a Symantec não parece ter uma forma integrada de limitar a largura de banda nos clientes remotos diretamente, apenas nos clientes GUP.

    
por 11.01.2013 / 19:48
5

Você pode controlar a largura de banda do processo do SEP Manager usando recursos de QoS baseados em diretivas que são incorporados ao Windows Server 2008 e mais recentes.

  1. Faça login no servidor e abra gpedit.msc .

  2. Navegue até Computer Configuration\Windows Settings\Policy-based QoS .

  3. Clique com o botão direito do mouse em Policy-based QoS e clique em Create new policy...

  4. Para Nome da política, insira SEPM Throttling .

  5. Desmarque Specify DSCP Value .

  6. Verifique Specify Outbound Throttle Rate .

  7. Insira a taxa máxima desejada em megabits por segundo e selecione Mbps (em vez de Kbps ) na lista suspensa.

  8. Clique em Next .

  9. Clique em Only appliations with this executable name .

  10. Digite o nome do processo do servidor web do SEPM (provavelmente httpd.exe ).

  11. Clique em Next duas vezes e, em seguida, clique em Finish .

por 06.01.2013 / 18:59