赛门铁克SEP架构部署十大常见问题解答

部署 Symantec Endpoint Protection 架构时需要参考的赛门铁克最佳实践指南。

1. 确保所有 SEP 客户端和 SEPM 最低要运行 Maintenance Release 3，更好地利用最新的增强功能，在产品中增加了优化和修复。

　

2. 对于拥有 10 到 1500 台机器的远程站点，考虑使用 Symantec Endpoint Protection 客户端“组更新提供程序” (Group Update Provider) 来进行内容分发，在从 SAV CE 迁移时，有一种方式是简单地在每个父服务器上安装常规 SEP 客户端(将替换父服务器)，然后通过 SEPM 控制台配置这些新的 SEP 客户端使其成为 GUP。

　　如果“组更新提供程序”在三天内不可用(不可到达)，则配置远程站点的 Symantec Endpoint Protection 客户端，使其仅忽略“组更新提供程序”。

　　对于拥有少于 10 台机器的远程站点，最有效的办法是使本地 SEP 客户端直接连接至其 SEPM 来获取内容更新，或通过互联网连接至 Symantec Liveupdate。

　　当远程站点拥有超过 50 台机器时，请确保在持续开机并运行“服务器操作系统”(如本地 Windows 文件服务器)的计算机上运行 GUP。

　　对于拥有超过 1500 个端点的远程站点，应考虑建立一个本地 LUA 分发点或增加一个 SEPM 站点(复制)是否更为适用。

　　

3. 将储存于 SEPM 数据的内容修订数量改为最少 40这会使过期大约两周的 SEP 客户端仍然能够获得增量内容更新。

　　

4. 将 SEPM 站点和执行复制的数量最小化。单个 SEPM 站点能够满足大多数少于 10000 个位子的环境需要考虑多重 SEPM 站点和相互间复制的情况：如果各端点分散地部署在不同地区，并且每个地区必须拥有本地 SEPM 控制台访问权，那么在地区站点和中心站点之间的广域网链接中断时，本地团队仍然可以在其所在区域访问本地 SEMP 控制台。

　　如果地方站点包含 1500 以上的端点，相比利用“组更新提供程序”功能，建立 SEPM 站点(SEPM 和数据库)更为适用。另一种选择是建立 LUA 分发点。

　　如需执行复制：将相互复制的站点数量最小化(须考虑“组更新提供程序”功能的使用是否适用于其中的任一站点)。

　　注意：最佳方案是将复制站点的数量控制在 5 个以下，强烈推荐该数量不超过 20 个

　　请不要复制内容和客户端安装软件包。最佳方案是使每个 SEPM 站点通过互联网从 Symantec Liveupdate 获取内容更新。

　　在可能的情况下，在复制登入/登出数据时，请确保此操作仅为单向操作(例如，3 个区域 SEPM 分站将登入信息单向发送至中心 SEPM 站点)。

　　复制无需过于频繁，一小时一次以上即可。

　　如果超过 3 个 SEPM 站点进行复制操作，推荐的复制频率是不小于每天一次(可以选择日期来预订复制次数，这样就不会与其他站点的复制或预定的 Liveupdate 安排产生冲突)。

　　

5. 将受管 SEP 客户端的通讯配置为在 PULL 模式下最低心跳 30 分钟这能够在客户端数据到达 SEPM 的时间和 SEP 客户端之间产生的网络流量之间提供良好的平衡保持启动随机下载，并设置为默认的 5 分钟。这适用于大多数环境。

　　

6. 如果为数据库使用 MS-SQL，则在每个 SEPM 站点中部署至少 2 个 SEPM，并配置客户端在 SEPM 之间进行负载平衡处理。

　　这可以确保在一个 SEPM 下线时，另外一个 SEPM 来管理 SEP 客户端。

　　定期的数据库备份是必须的，如果不想让数据库存在潜在的单点故障，可以执行两个数据库(MS-SQL)机器的集群。

　　如果使用“嵌入式数据库”，则可以在第二个 SEPM 站点(在另一个独立机上)设置“嵌入式数据库”，然后每天在站点之间进行复制，即可达到相似的容错度。

　　

7. 如果为数据库使用 MS-SQL，请确保数据库所在计算机与 SEPM 处于同一个局域网中，或至少能够以局域网连接的速度与质量进行相互通讯

　　

8. 如果远程站点通过广域网连接至设置在中心(独立)站点的SEPM数据库计算机，请不要在远程站点部署单独的SEPM(没有本地数据库)

　　

9. 如果为 SEPM 数据库使用 MS-SQL，最好能够在物理机(相对于虚拟机)上运行。这样可以确保减少磁盘 I/O 和其他资源瓶颈的发生。

　　

10. 如端点总数超过 5000，推荐为 SEPM 数据库使用 MS-SQL