SEP サービスを再起動するまで Endpoint Protection クライアントがコンテンツの更新に失敗する

book

Article ID: 194703

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

Symantec Endpoint Protection サービスを再起動するまで、Endpoint Protection クライアントがウイルス定義ファイル等のコンテンツの更新に失敗する。

SEP システムログ:
  • Virus and Spyware Definitions SDS Win64 の更新をインストールできませんでした。エラー: コンテンツ更新の全般エラー (0xE0010001), DuResult: カタログのコールバックに失敗しました (60).
  • SONAR 定義の更新をインストールできませんでした。エラー: コンテンツのパッチに失敗しました (0xE0010005), DuResult: 成功 (0).
パフォーマンスログ:
  • ccSvcHst.exe の "Virtual Bytes" が 2GB 近くになっている。

Cause

この問題は、複数の定義セットが同時にプロセスにマッピングされる時(例えば新しい定義セットがダウンロードされる時など)に起きうる ccSvcHst.exe のヒープ断片化により発生します。

Windows では、開始されたプロセスごとにメモリの予約領域が作成されます。このメモリ領域は、連続した(すなわち、一緒にヒープされた)メモリページからなるため、ヒープと呼ばれます。デフォルトヒープに加えてプロセスは、メモリのブロックで構成されるプライベートヒープをプライベートアドレス空間に作成できます。これらのメモリブロックは、小さなメモリ割り当てと大きなメモリ割り当ての両方でいっぱいになります。ヒープ断片化は、例えば、大きな割り当てがブロック内で解放されても、小さいものが残っているようなときに発生します。断片化により、必要なクリーンアップをヒープマネージャが実行することが不可能になり、最終的には障害の原因となります。

Environment

SEP 14 (任意のバージョン)

Resolution

SEP 14.2 MP1 では、ccSvcHst.exe のメモリ断片化をアクティブに監視して、問題が発生した時に解決します。このメモリ管理はオプションで、次のレジストリ値を設定すると有効になります(14.2 MP1 以上のみ)。

注意:  このレジストリを変更するには、改変対策を一時的に [ログのみ] に設定する必要があります。  レジストリ設定後、改変対策を以前の設定に戻してください。

(32 ビットマシン)
HKLM\Software\Symantec\Symantec Endpoint Protection\SMC

(64 ビットマシン)
HKLM\SOFTWARE\WOW6432Node\Symantec\Symantec Endpoint Protection\SMC

1. MemoryMonitor (DWORD) - 使用可能にするメモリーの量。有効値は 350 〜 500 (MB) (10 進数) です。この値は必須です。有効値を指定すると機能が有効になります。

2. MemoryMonitorFreq (DWORD) - チェック間隔。有効な値は 1 〜 24 時間 (10 進数) です。この値が作成されていない場合は、デフォルト値の 8 時間が使用されます (オプション)。

設定は起動時に一度だけ確認されます。設定を変更するには、smc の再起動かシステムの再起動が必要です。

注意: この値は、関連する現象が発生しているマシンでのみ設定してください。

経緯

中間的な改修として、2017 年 11 月 13 日にリリースされた SDS 1.5.0.321 で、特定の状況でのメモリ予約を最大 50 % 削減しました。SEP 14 RU1 MP1 で ccSvcHst.exe 関連のメモリ使用をさらに改良しました。

回避策

この問題に関連する症状が発生する可能性を減らすのに、以下の事項が役立ちます。

  • ダークネットワーク定義から標準定義へ移行する
  • 定期的に SEP サービスを再起動し、ccSvcHst.exe を新しいヒープで再開するようにする。古いバージョンでは smc -stop/start コマンドを手動でスケジュールする必要があります。この回避策は、上述の MemoryMonitor を SEP 14.2 MP1 以上で有効にしている場合は必要ありません。

Additional Information

SepMasterService cannot start after service restart by MemoryMonitor function