%20%E6%B5%81%E9%87%8F%E7%AE%A1%E2%80%8B%E2%80%8B%E7%90%86.png)
我的组织部署了大量 Symantec Endpoint Protection (SEP)(约 20,000 个客户端),其中单个 SEPM 实例在 ESX VM 中运行。我们确实有许多远程客户端被指定为组更新提供程序 (GUP),只要可能。
我们的系统管理员报告称,SEP 软件没有任何本机方法来限制其对网络带宽的使用。它需要向每个客户端发送“完整”定义更新,大小约为数百兆字节。我们发现 SEPM 实际上会接受数千个客户端签入请求,并以可能的最大数据速率向所有客户端发送更新。
我们需要某种方法来减少 SEPM 用于本地更新客户端的带宽量,以便其网络连接上有足够的空间用于管理流量(远程输入、检查 SEP 控制台等)。
到目前为止,为了缓解整个网络的泛洪,我们已经从外部(在虚拟机和交换机级别)限制了 SEPM 流量,这可以防止头端网络拥塞。但是,这无法保证管理流量的带宽。
我们希望在操作系统或应用程序级别实施一些更改来限制流量,而无需在数百个办公室部署重量级的 QoS。理想情况下,我们希望能够限制每个客户端用于 SEP 更新的流量。
如果您对如何实现此目标有任何想法,请告诉我。
答案1
我认为最好的解决方案是将您的远程客户端配置为:
仅从每个远程站点的 GUP 提取更新,使用 LiveUpdate 策略设置限制 GUP 上的带宽
或者
让您的远程客户端直接前往 Symantec 进行更新,而不是前往 SEPM 服务器
本文将帮助您以第一种方式进行配置-symantec.com/business/support/…:
- 将“客户端在尝试默认管理服务器之前尝试从组更新提供程序下载更新的最长时间”设置为“从不”。
- 如果 GUP 的带宽需求仍然过大,您还可以通过设置“允许组更新提供程序从管理服务器下载的最大带宽”来限制 GUP 的带宽
如果您有太多远程站点,以至于管理每个站点的 GUP 都很麻烦,那么我会选择第二种方案。
不幸的是,赛门铁克似乎没有内置方法来直接限制远程客户端上的带宽,只能限制 GUP 客户端上的带宽。
答案2
您可以使用 Windows Server 2008 及更新版本内置的基于策略的 QoS 功能来限制 SEP Manager 进程的带宽。
登录服务器并打开
gpedit.msc。导航
Computer Configuration\Windows Settings\Policy-based QoS。右键单击
Policy-based QoS并单击Create new policy...对于策略名称,输入
SEPM Throttling。取消勾选
Specify DSCP Value。查看
Specify Outbound Throttle Rate。输入所需的最大速率(以兆比特每秒为单位),然后从下拉列表中选择
Mbps(而不是)。Kbps点击
Next。点击
Only appliations with this executable name。输入 SEPM Web 服务器进程名称(可能是
httpd.exe)。单击
Next两次,然后单击Finish。