Symantec Endpoint Protection 12.1を入れる |
~その一
Symantec Endpoint Protection 12.1(SEP)を導入する際、
Symantec Endpoint Protection Manager(SEPM)をインストールするサーバーを
VMWare仮想マシンにする場合は、最初に下のリンクを絶対読もう。
VMware 環境に SEPM をインストールする際のガイドライン
http://www.symantec.com/docs/TECH132456
~その二
SEPの埋め込みデータベースがやたらとメモリを食う場合は、
下のリンクを参考にレジストリを変更しよう。
SEPで使用する埋め込みDB(dbsrv11.exe または dbsrv9.exe)が大きなメモリ量を消費する
http://www.symantec.com/docs/TECH166729
以下、詳細です。興味のある方のみご覧ください。
↓↓↓
会社のセキュリティをSymantec AntiVirus 10(SAV)から
Symantec Endpoint Protection 12.1(SEP)へ
バージョンアップをすることになりました。
SAVCEサーバーはもう古過ぎて、正直早く死んでほしかったので、
新規でサーバーを立ち上げ、そこにマネージャーを入れることに。
なので厳密には移行と言うより、新規構築に近いですかね。
個人的には仮想サーバーってあんまり好きじゃないので、
バックアップ&セキュリティ用のラックサーバーを一台追加したかったのですが、
そんな予算取れるわけもなく。無駄な所にばっかり金使うくせに。
…愚痴はともかく。
VMWare上で仮想マシンを構築し、SEPMをインストールすることになりました。
ただ、思うように上手くいかず、そこで四苦八苦しました。
Symantec社に対する不信感もいっぱい生まれました。
まぁ色々ありましたが、導入から半年、やっと安定運用できるようになったので、
どなたかの参考になればいいなと思い、ここに記しておくわけです。
環境はこんな感じです。
<サーバー>
VMWare仮想マシン。
同じESXサーバー上ではファイルサーバー、バックアップサーバー等が稼働中。
OS:Windows Server 2008 R2 Standard
SEPMバージョン:12.1
SEPデータベース:埋め込み
CPU:Intel Xeon E5430 2.66GHz 1プロセッサ
Memory:4GB
HDD:50GB
<クライアント>
※全てActive Directory環境、全部で150台ぐらい。
OS:Windows Server 2003/2008 R2, Windows XP/7
CPU:Intel Celeron、Pentium、Core 2 Duo/i3/i5 など
Memory:1GB~4GB
HDD:80~500GB その他色々
クライアントが新しいマシンから古いマシンまで色々だったり、
管理コストに特にメリットを感じられないサーバー仮想化をしてたり、
まぁITインフラ整備に力を入れてない中小企業としては、
至極ありがちな環境かと思います。
で、まずSEP12を入れようとする人が最初に見るページは下だと思います。
移行と導入ガイド
http://www.symantec.com/ja/jp/theme.jsp?themeid=endpointsecurity_migration
私が環境構築した時はこんなまとめページありませんでしたが、
インストールガイドは大体揃っていました。
しかし「簡単移行ガイド」の通りに、簡単に移行はできません。
実は、上に書いたSEPMサーバー環境は当初のもので、
これで一回構築したのですが、二週間ほど経った時に
「HDDの残り容量が200MBしかないですよ」と警告。
確かに50GBは少ないかもしれんが、システム要件は8GBだったはず。
インストール直後のサイズは8GBぐらいやったし、
クライアントパッケージの世代保存数も3にしてるのに…
どういうこと?とサポートに電話したところ、
「VMware 環境に SEPM をインストールする際のガイドライン」
を見ろ、ちゃんと書いてあるじゃないか、と、
中国人らしきオペレーターにカタコトの日本語で言われたわけです。
CPU:1コア
→最低2コアないとまともに動きません。
データベース:特に指定なし
→SQL Server使うなら別のESXサーバー上に置いてね。
あとメモリいっぱい積んどいてね。
メモリ:2GB
→4GBは必要です。
HDD:4GB(埋込DB使う場合は8GB)
→150GB。っていうか8GBで動くわけないよねjk
システム最低要件が、物理と仮想でこれだけ違うんです。
驚きです。
でも、このページは「SEP VMware」等でGoogle検索しても、なかなか出てきません。
Symantecサポートページで「VMware」「Endpoint Protection」で検索しても、
かなり下の方に出てきます。
そもそも、VMware環境で動くって大体的に宣伝してるし。
ちなみに、当時サポートから受け取ったカタコト言い訳メール抜粋(本文ママ)。
==
なお、SEPM のシステム要件につきまして、ご認識の通り、4GB/8GB は最小限の要件と
なっており、SEPM としては動作することが難しいでございます。
SEPM を正常に運用させる場合、SEPM がインストールされるドライブは、少なくとも
50GB の空き容量を確保していただく必要がございます。
==
「いや、『50GB』なんてどこに書いてあるんですか?そのページを教えて下さい」
と電話で言ったら「どこにも書いていません」と。
この際カタコトなのは目をつぶってやってもいいとしても、
説明書にない要件を強制するなんて、最低です。
で、まぁ中国人に文句を言い続けても仕方ないので、
せめて「簡単移行ガイド」の置いてあるページに並列でリンク張っておけ、
と伝え、うちは構成変更を余儀なくされたわけです。
※当然リンクは張られていませんが、最近改訂された「簡単移行ガイド」には
「HDDは100GB以上」が異常なほどに強調されて書かれています。
同じクレーム入れた会社も多いんやろうなぁ。
CPUをデュアルにして、メモリを4GBにして、HDDを200GBにして、
これで安心。安定稼働マンセー。将軍様の御慈悲のおかげです。
と思ったのもつかの間。
今度は、毎日メモリ不足のエラーが頻発するようになりました。
おかしいなーと思いつつも、まだESXサーバーの物理メモリ、消費メモリには
余裕があったので、6GBに増設。
すると、なんということでしょう。
さらに消費量が増えているではありませんか。
7GBにしたらマシになったけど。
で、ググってみると、「SEPで使用する埋め込みDBが…」がヒットしたわけです。
レジストリ見ると、512MBで設定されていた。
レジストリ触らなあかんって、それ完全にバグじゃないですか。
「お前らが悪い」みたいな書き方すんな。
というわけで256MBに落とすと、無事動くようになりました。
メモリ割当を4GBに落としても、ちゃんと動きました。
ただ、メモリ使用量が多いのは慢性的なものみたいで、
LiveUpdateも何も動いていない今でも、
SemSvc.exeは立ち上げるだけで500MB近いメモリを消費してますし、
dbsrv11.exeはレジストリ指定した256MBをMAX消費中です。
なので安全のため、6GB積みました。常に34%消費中。
3年分まとめて契約してるのですぐには止められませんが、
SEPはActive Directoryとも、VMwareとも相性が悪いですし、
サポートも糞っていう確信ができたので、更新はしないでしょうね。
皆さんの会社、セキュリティソフト何使ってますか?
お会いした時に聞くかもしれません。