В моей организации развернуто большое количество Symantec Endpoint Protection (SEP) (около 20 000 клиентов) с одним экземпляром SEPM, работающим на виртуальной машине ESX. У нас действительно есть много удаленных клиентов, обозначенных как поставщики обновлений групп (GUP), где это возможно.
Наши системные администраторы сообщили, что программное обеспечение SEP не имеет собственного способа ограничить использование полосы пропускания сети. Ему необходимо отправить «полное» обновление определения каждому клиенту размером в несколько сотен мегабайт. Мы обнаружили, что SEPM практически принимает тысячи запросов на регистрацию клиентов и отправляет всем клиентам обновления с максимально возможной скоростью передачи данных.
Нам нужен какой-то способ уменьшить объем полосы пропускания, используемый SEPM для обновления клиентов изначально, чтобы в его сетевом подключении оставался запас для трафика управления (удаленный вход, проверка консоли SEP и т. Д.).
До сих пор, чтобы уменьшить переполнение всей сети, мы ограничивали трафик SEPM извне (на уровне виртуальной машины и коммутации), что предотвращает перегрузку в головной сети. Однако это не гарантирует пропускную способность для трафика управления.
Мы хотели бы внести некоторые изменения на уровне ОС или приложений, чтобы ограничить трафик, не прибегая к тяжелому развертыванию QoS в сотнях офисов. В идеале мы хотели бы иметь возможность регулировать объем трафика, используемого каждым клиентом для обновлений SEP.
Пожалуйста, дайте мне знать, если у вас есть идеи, как достичь этой цели.
Вы можете регулировать пропускную способность процесса SEP Manager с помощью основанных на политиках функций QoS, встроенных в Windows Server 2008 и новее.
Войдите на сервер и откройте gpedit.msc.
Перейдите к Computer Configuration\Windows Settings\Policy-based QoS.
Щелкните правой кнопкой мыши на Policy-based QoS и нажмите Create new policy...
В поле "Название политики" введите SEPM Throttling.
Снимите отметку Specify DSCP Value.
Проверьте Specify Outbound Throttle Rate.
Введите желаемую максимальную скорость в мегабитах в секунду и выберите Mbps (вместо того Kbps) из раскрывающегося списка.
Нажмите Next.
Нажмите Only appliations with this executable name.
Введите имя процесса веб-сервера SEPM (возможно, httpd.exe).
Нажмите Next дважды, затем щелкните Finish.
Я думаю, что ваше лучшее решение - настроить удаленных клиентов на:
получать обновления только из GUP на каждом удаленном сайте, регулируя пропускную способность GUP с помощью параметров политики LiveUpdate
или
просто позвольте вашим удаленным клиентам обращаться за обновлениями непосредственно к Symantec, а не на ваш сервер SEPM
Эта статья поможет вам настроить его первым способом - symantec.com/business/support/…:
Если у вас так много удаленных сайтов, что управление GUP на каждом из них является головной болью, я бы выбрал второй вариант.
К сожалению, Symantec не имеет встроенного способа регулирования пропускной способности на удаленных клиентах напрямую, только на клиентах GUP.