こっそりと。

連休明けの平日の朝一番になると、ネットワークが遅い！そんなことありませんか。ありますよね。
ゴールデンウイークとかお盆休み、年末年始が終わってからの仕事開始日になると、ネットワークが遅い！っていう。

人数が多い組織(そうはいっても、100名前後ぐらいから)になると、こういった現象が起きてきます。そしてそれは、概ね WindowsUpdateが集中して行われるか、アンチウイルスソフトのアップデートが集中するからネットワークが重くなることがほとんどです。日々のアップデートは微々たるものでも、連休になってこういうのが積み重なると、決して馬鹿にできないってことですね。

ちなみに過去に数度このような質問を受けました。どちらの場合も、WindowsUpdateを連休前にOFFにしてもらうとか、アンチウイルス側でアップデートの確認頻度を下げるなどして解決してきました。


そんななか Symantec Endpoint Protection(SEP)では、GUP(グループ更新プロバイダ)という機能があります。
僕はこの製品は、環境を構築したことはあっても、実環境で運用をしたことがなく、正直今までどこまで使える機能なのかわかりませんでした。

ということで検証を行いました。

参考
Symantec Endpoint Protection 12 ・ネットワーク負荷を軽減させる方法 ※PDF注意

まず、負荷軽減の基本的な設定は上記PDFを確認します。※たしか大規模環境は別途でSymantecがベストプラクティスガイドを公開していた記憶があります。

・プッシュ / プルモードの使い分け
※100名を越える場合や拠点が別にあるような環境ではプルモードがいいようです。プルモードは高負荷に耐えやすいようですね。
設定変更は、Manager から クライアント - ポリシータブ - 通信の設定 から行います。

・GUP用のLiveUpdateポリシーの作成
ポリシー - LiveUpdate から、新しいポリシーを作成します。
左側のメニューからサーバーの設定を選択し、デフォルトの管理サーバーを使うにチェック。LiveUpdateサーバーを使うはチェックオフ。
※LiveUpdateサーバーというのは、Symantec サーバーを指定すれば、インターネットトラフィックにつながります。指定した社内LiveUpdateサーバーは今回は構築していないので関係ありません。ただし規模によっては、とても有益な選択肢となり得るので、他のマニュアルを当たるべきかと。。。

複数GUPを選択するのが現実的な環境での設定になると思われます。今回はテストのため単一のIPを指定しました。
デフォルトポートは 2967 です。そしてこれは、GUPサーバーとして正しく設定された場合には、ポートがLISTENします。FWにも考慮が必要だと思われます。

・上記ポリシーの割り当て
クライアントからグループを選択し、ポリシータブをクリック。「ポリシーと設定を親グループ[XXX]から継承する」のチェックをハズします。
そしてLiveUpdateのポリシーを上記で作成したものを割り当てます。

注意)
僕がテストした環境では、GUPポリシーが同じグループに所属していないと、役割を果たしてくれないようでした。


たとえば上画像でいうところの、Default Group に1台のPC。そしてGUPの役割を割り当て。 GUP-TEST グループに1台のPCを割り当て。この端末はDefaultGroupに属する1台のPCからGUP機能でアップデート。

このような設定をすると、まず 2967 ポートがLISTENしませんでした。それに伴い、クライアント端末もアップデートができませんでした。
このようなときには、DefaultGroupでもLiveUpdateのポリシーを変更し、GUPの設定を入れる必要がありそうです。

以上のことから、未検証ですが、複数のGUP端末を指定するときには、各グループから1台以上を指定した方がいいような気がします。
※グループ毎にポリシーを作るのは面倒ですし。

以上で設定は完了です。
次回の記事で、確認作業について記載します。