Symantec Endpoint Protection (SEP) の複製に関するベストプラクティスと推奨事項について説明します。

複製とは、異なるサイト上のデータベース間で同じ内容のデータを作成し、両方のデータベースに同じ情報が含まれるようにする処理のことです。一方のデータベースで障害が発生した場合でも、もう一方のサイトにあるデータベースの情報を使用することにより、サイト全体を管理することができます。

複製パートナーとは、異なるデータベースと管理サーバーが存在する別のサイト上の管理サーバーのことです。サイトには、必要な数のパートナーを指定できます。 各パートナーまたはリモートサイトは、メインサイトまたはローカルサイトに接続し、このサイトにログオンすることになります。 パートナーとして設定されたすべてのサイトが、同じサイトファームに存在するものと見なされます。

データの複製先となるサイトは、複製パートナーとサイトパートナーのいずれかになります。複製パートナーとサイトパートナーでは、どちらも複数のサーバーが使用されますが、使用されるデータベースと通信方法が異なります。

• 複製により、データが別の Symantec Endpoint Protection Manager (SEPM) に転送されます。
• 別のサイトに存在する SEPM が、複製パートナーになります。
• サイトには、複数の複製パートナーが存在することができます。
• いずれかのパートナーを変更すると、その変更内容がすべてのサイトで複製されます。
• ポリシーとグループが複製されます。
• 任意のバージョンの SQL Server データベースと埋め込みデータベース間の複製がサポートされています。

複製を設定する前に

複製を行う場合は、次の点を考慮してください。

• 最小サイト数
  サイトの数は 5 つ以下にすることをお勧めします。
• ネットワーク帯域幅とリンクの容量
• ネットワーク待ち時間
• プライマリサイトのデータベースのサイズ
• 2 つのサイト間におけるファイアウォールやプロキシ、またはルーターなどのハードウェアの有無
• ファイアウォールまたはルーターにパケットスキャン機構が組み込まれているどうか
  この機構により、複製パートナー間でやりとりされる zip ファイルが失われる可能性があります。

複製サーバーのサイジング

複製サーバーには単一サーバーのインストールよりも大きいデータベースが必要です。複製サーバーでより大きなサイズが必要なのは、次の要因によります。

• 管理下クライアントの数
• データベースに保持されるクライアントインストールパッケージのサイズ
• 保持されるログファイルの数
• データベースの保守設定
• ログのサイズと有効期限
• 定義の更新のサイズ
• データベースバックアップ情報の必要条件

最初に複製を作成する場合、複製サーバーのハードディスクの一般的な必要条件として、元の Symantec Endpoint Protection Manager で使用されるハードディスク容量の 3 倍以上でなければなりません。

詳しくは サイジングとスケーラビリティに関するベストプラクティス を参照してください。 

既存の複製パートナーに新しいサイトを追加する

• 複製スケジュールが［自動］に設定されていないことを確認してください。
•  LiveUpdate スケジュールが［連続］または ［4 時間ごと］に設定されていないことを確認してください。
• 複製のスケジュールが、予定されている LiveUpdate セッションと重複していないことを確認してください。
• LiveUpdate の設定で、コンテンツの改訂数を減らしてください。
  注: コンテンツの改訂数を減らすと、クライアントがすべての定義セットを要求する可能性が高まります。多くのクライアントが同時に SEPM にすべての定義セットを要求した場合、帯域幅に関する問題が発生する可能性があります。
• SEPM ログをパージしてください。
• 10 を超える複製パートナーを使用しないでください。

データベースサポート

使用しているバージョンの Symantec Endpoint Protection の SEPM システム要件 を確認してください。

ベストプラクティス

• 低速リンクでサイト数が 3 つ以上、またはクライアント数が 1000 を超えている場合、1 日に 1 回以上の複製をスケジュールしないでください。実際の複製完了の時間を計測し、適切にスケジュール設定を行います。
• 各 SEPM は、同じバージョンでなければなりません。スキーマが一致しない場合、SEP 12.1 の複製は実行されません。
• 複製スケジュールを重複させないでください。
•  ワイドエリアネットワーク  (WAN) 経由で複製を行う場合は、ログだけを複製してください。
• 複製サイトの数は 5 つ未満にすることをお勧めします。プライマリサイトとセカンダリサイトの比率は 1:4 にしてください (1 つのプライマリサイト対して 4 つのセカンダリサイト)。
• 12.1.5 よりも前のバージョンについては、コンテンツ改訂の値を低く設定してください。 
• 複数の複製パートナーが設定されている場合は、複製スケジュールを重複させないようにしてください。重複している場合、データベースでデッドロックが発生する可能性があります。
• 以下の場合は、複製パートナーを削除してください。
  • SEPM を SEP 11.x から 12.1.x にアップグレードする場合。
  • SEPM のサーバーの証明書をアップデートする場合。
  • サポート対象のツールを実行する必要がある場合。
  • SEPM 上でソフトウェアまたはハードウェアの保守を行う場合。
  • データベースを手動でバックアップする場合。 

トラブルシューティング情報の収集

トラブルシューティングを行う場合は、以下の情報を収集してください。

• 両方のサイトの Tomcat ログ
• プライマリサイト (サイト 1) の Tomcat ログと、セカンダリサイト (新しいサイト) の Install Error ログ (最初の複製が失敗した場合)
• IP アドレスとサーバー名
• データベースバックアップ (SQL Server または埋め込みデータベース)
• ネットワークに関する問題を確認するための Wireshark ログ
• すべてのサイトの SymDiag ツールログ (全データ) 

詳細

アップデートシーケンス番号 (USN) が変更されるたびに、複製が開始されます。データベース内のすべてのレコードは、USN に関連しています。レコードが変更されるたびに、USN が増分またはアップデートされます。データの比較は USN に基づいて行われます。USN により、レコードが追加されるか変更されるかが決まります。

注: 複製により、SEPM をコンピュータ間で移動することができますが、サイト上のプライマリ SEPM が消去されるため、この方法はお勧めしません。プライマリ SEPM により、サイト上での複製が可能になります。プライマリ SEPM がない場合、複製パートナーシップを設定することはできません。 

バージョン 12.1 以降での複製

SEP 11 の場合、複製パートナーを削除してから SEPM のアップグレードを実行することにより、SEPM 間の複製を中断する必要がありました。複製を中断しないと、データベースが破損する可能性があります。SEP 11 の複製では、バージョンチェックが実行されませんでした。SEP 12.1 以降では、アップグレードの前に複製を無効にする必要はありません。バージョン SEP 12.1 以降、複製時にバージョンチェックが実行されるため、異なるバージョンの複製によるデータベースの破損が発生することはありません。

注: SEP 11 から SEP 12.1 にアップグレードする場合も、複製を中断する必要があります。

追加のリソース

サイトと複製の設定 を参照してください。

[英語文書] Replication best practices for Endpoint Protection