2014年12月6日

Symantec Endpoint Protection Manager の必要ディスク容量について


Symantec Endpoint Protection Manager 12(以下SEPM)をWindows Server 2003 Standard Edition(32bit、以下Windows) にインストールする際に必要なディスク容量についての考察です。


まず、大前提としてVMWareのリソースが80GBしか取れませんでした。
SEPMのデータベースが肥大化し、システムディスクを圧迫することを避けるため、SEPMはDドライブにインストールすることにしました。
そこで悩むのがパーティション分けです。

まず、システム要件を調べます。

・Windows → 2GB
・SEPMのプログラム領域 → 4GB
・SEPMのデータ領域 → 30GB

SEPMのデータ領域ですが、定義ファイル1世代で約3GBだそうです。大体1日に3世代更新されるので10世代を保存することを推奨しています。約3日分保存できるので、土日の週明けに差分ファイル配信ができるためだそうです。
つまり 3GB×10世代=30GB となるわけです。

参考資料

・構築_1_マネージャのHDD容量の見積もり方法
 http://www.symantec.com/connect/sites/default/files/SEP12構築_1_マネージャのHDD容量の見積もり方法.pdf

・Symantec Endpoint Protection 12 簡単インストールガイド
 http://www.symantec.com/content/ja/jp/enterprise/images/theme/endpointsecurity/sep12_install_guide.pdf

・VMware 環境に SEPM をインストールする際のガイドライン
 http://www.symantec.com/business/support/index?page=content&id=TECH132456&locale=ja_JP#

SEPMはDドライブを指定してインストールするが、おそらくCドライブにも何らかのファイルが勝手に保存されるだろうと予測し、5GB程度は消費されるので倍の10GB、DドライブはSEPMのプログラム+データで35GB程度消費されるだろうから倍の70GB、でちょうど良いと判断しました。結果的には大きな間違いでしたが。

Cドライブ → 10GB
Dドライブ → 70GB

インストールは順調に完了しました。Cドライブは予想以上に消費してしまいましたがこの時点では余裕がありました。たしか3GB程度残っていたかと記憶しています。

しかしすぐにDドライブが枯渇しました。保存する世代を減らしていき、結局3世代に落ち着きました。
プログラム+3世代データで30GB程度になるようにしました。
SEPMのDBだけで7GBほどありますので、1世代8GB程度だと思われます。

1.5年ほどは順調に運用出来ていたのですが今度はCドライブが枯渇しました。
この時には仮想メモリをCドライブからDドライブに移して事なきを得ました。

その後しばらく経つと再びCドライブが枯渇したという警告がSEPMから発せられるようになりました。ひどいときにはCドライブの残容量が20MBとかになります。
ディスク・クリーンアップをしたり余計なアプリケーションを削除したりしてしのぎましたが、いよいよ頻発するようになってきました。時を同じくしてクライアントの定義ファイルが最新にならない事象が出てきて、そのたびに修復をかけなくてはならない事態になりました。(修復方法に関しては過去のブログ記事を参照してください)

定義ファイルはDドライブにダウンロードする設定になっているのですがダウンロード時の一時ファイルがCドライブに設定されているようです。
Cドライブが枯渇し一時ファイルが作成できなくなり、定義ファイルが壊れるのではないかと思われます。

環境変数のTEMPおよびTMPの値をDドライブに作成したフォルダに指定したり、InternetExplorerのインターネット一時ファイルのフォルダをDドライブに変更しましたが効果ありません。

調べるとSEPMの一時ファイルは以下のフォルダになっているようです。
C:\Program files\Common Files\Symantec Shared\SymcData

LiveUpdateのファイルは以下のフォルダです。
C:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\Downloads

今の所これらのフォルダを変更する方法が見つかっていません。
 ジャンクション機能を使えば良いのでしょうか?

このサーバーは SymantecEndpoint Protection のクライアントもインストールしているのですが、クライアントをDドライブにインストールする方法もわかりません。DドライブにインストールできればLiveUpdateフォルダもDドライブに変わると思うのですが。
そもそもこのLiveUpdateフォルダはSEPが使用しているのかSEPMが使用しているのかよくわかりません。
ネットで情報収集しようとするとSymantec公式文書が多くヒットするのですが、いまいち有用な情報に行き当たりません。かゆい所に手が届かない感じです。



今回の件とは直接関係ないですが、メモリ消費が過剰な場合にはこちらが参考になるかも

・SEP で使用する埋め込み DB (dbsrv11.exe または dbsrv9.exe) が大きなメモリ量を消費する
 http://www.symantec.com/business/support/index?page=content&id=TECH166729&locale=ja_JP#


0 件のコメント:

コメントを投稿