我的组织部署了一个大型 Symantec Endpoint Protection (SEP)(约 2 万个客户端),其中一个 SEPM 实例在 ESX VM 中运行。在可能的情况下,我们确实有许多远程客户端被指定为组更新提供者 (GUP)。
我们的系统管理员报告说,SEP 软件没有任何本机方法来限制其对网络带宽的使用。它需要向每个客户端发送一个“完整”的定义更新,大小约为数百兆字节。我们发现 SEPM 实际上会接受 1000 个客户端签入请求,并会以可能的最大数据速率发送所有客户端更新。
我们需要一些方法来减少 SEPM 用于本地更新客户端的带宽量,以便在其网络连接上为管理流量留出空间(远程输入、检查 SEP 控制台等)。
到目前为止,为了减轻整个网络的泛洪,我们已经在外部(在 VM 和交换级别)限制了 SEPM 流量,这可以防止头端网络出现拥塞。但是,这并不能保证管理流量的任何带宽。
我们希望在操作系统或应用程序级别实施一些更改以限制流量,而无需在 100 多个办公室部署一些重量级的 QoS。理想情况下,我们希望能够限制每个客户端用于 SEP 更新的流量。
如果您对如何实现这一目标有任何想法,请告诉我。
您可以使用 Windows Server 2008 和更新版本中内置的基于策略的 QoS 功能来限制 SEP 管理器进程的带宽。
登录服务器并打开
gpedit.msc
.导航到
Computer Configuration\Windows Settings\Policy-based QoS
。右键单击
Policy-based QoS
并单击Create new policy...
对于策略名称,输入
SEPM Throttling
。取消选中
Specify DSCP Value
。检查
Specify Outbound Throttle Rate
。输入所需的最大速率(以兆比特/秒为单位),然后从下拉列表中选择
Mbps
(而不是)。Kbps
点击
Next
。点击
Only appliations with this executable name
。输入 SEPM Web 服务器进程名称(可能是
httpd.exe
)。单击
Next
两次,然后单击Finish
。我认为您最好的解决方案是将您的远程客户端配置为:
仅从每个远程站点的 GUP 中提取更新,使用 LiveUpdate 策略设置限制 GUP 上的带宽
或者
只需让您的远程客户端直接转到 Symantec 进行更新,而不是您的 SEPM 服务器
本文将帮助您以第一种方式配置它 - symantec.com/business/support /... :
如果您有太多远程站点,以至于管理每个站点中的 GUP 很头疼,那么我会选择第二个选项。
不幸的是,Symantec 似乎没有直接限制远程客户端带宽的内置方法,只能在 GUP 客户端上使用。