グループ更新プロバイダ (Group Update Provider, GUP) を使用して、Symantec Endpoint Protection (SEP) クライアントを最新の状態に保つ方法について説明します。

GUP からコンテンツをダウンロードするためのクライアントの設定 を参照して GUP を設定してください。

GUP の役割はどの SEP クライアントにも割り当てることができます。SEP クライアントに GUP の役割が割り当てられると、SEP クライアントは SEP コンテンツの差分リビジョンとフルリビジョンの両方を格納して、HTTP プロキシのキャッシュとして機能します。

他の SEP クライアントは、SEPM (Symantec Endpoint Protection Manager) の LiveUpdate ポリシーを使用して定義およびコンテンツのアップデートに GUP を使用するように設定できます。

GUP として動作する SEP クライアントは、SEPM と同じバージョンでインストールする必要があります。SEPM サーバー上で GUP を有効にすることは避けてください。

使用環境における全体的なコンテンツのアップデートスキームの一部として GUP を使用する前に、次のことを考慮してください。

• ネットワーク考慮事項
• クライアントの合計数
• GUP で利用可能な物理的なハードディスク容量
• GUP の他のハードウェアおよびソフトウェアの制限事項
• GUP 可用性

ネットワーク考慮事項

GUP を使用して、SEP クライアントへのコンテンツアップデートの配信のために SEPM を補足または置き換えることができますが、ポリシーのアップデートやクライアントの管理には使用できません。クライアントは、ハートビートプロセスを実行するために SEPM へのネットワーク接続が必要です。このハートビートプロセスはポリシーをアップデートし、GUP から新しいコンテンツが利用可能になった場合にクライアントに通知します。

GUP を使用してアップデートする必要のある SEP クライアントが、クライアント管理用に SEPM で使用される HTTP ポートに接続できない場合は、クライアントをアップデートする別の方法を検討します。現在の環境で使用されている SEPM のバージョンに応じて、デフォルトのクライアント管理ポートは 8014 または 443 のいずれかになります。このポートは製品内で構成可能です。クライアントのコンテンツとポリシーの両方をアップデートする唯一の方法は、SEPM を使用することです。

GUP は本質的には追加の GUP の役割を持つ SEP クライアントであるため、クライアント管理ポート経由でも SEPM にアクセスできる必要があります。さらに、GUP を使用するクライアントは GUP がリッスンする HTTP ポートに接続する必要があります (デフォルトでは 2967)。シマンテックでは、GUP からアップデートするように構成したすべてのクライアントと同じネットワークセグメントに GUP を配置することを推奨します。

GUP はオンデマンドで GUP およびすべてのクライアント用に定義をダウンロードし、これを介してアップデートを構成します。GUP は、その LiveUpdate ポリシーの設定に従って、ダウンロードしたすべてのコンテンツをキャッシュに保存します。GUP を使用するように構成したクライアントは、SEPM ではなく GUP から直接定義をダウンロードします。この方法により、帯域幅が維持されます。GUP と SEPM の間には、SEP クライアントが要求する完全および差分定義パッケージを GUP がダウンロードできるように、十分な帯域幅を確保する必要があります。クライアントが使用する定義リビジョンの広がりが大きくなればなるほど、SEPM と GUP の間の帯域幅使用率は大きくなります。

帯域幅の使用状況は GUP を戦略的に使用することにより大幅に削減できますが、最大限の効果を上げるには、GUP をネットワーク内に配置することが重要です。GUP は、ローカルネットワークセグメント上のクライアントに対するアップデート配信のみを構成する必要があります。各 GUP には、GUP を使用するクライアントに最大 600 MB のコンテンツパックを 1 日に最大 3 回配信するための十分な帯域幅が確保される必要があります。

クライアントの合計数

GUP の役割の現在の反復を最大 10,000 クライアントをサポートするように構成できます。GUP が多数のクライアントをアップデートできるようにするには、最大レベルの同時ダウンロード (1000) および最大レベルの帯域幅 (無制限) を処理できるように GUP を構成する必要があります。

GUP ロールの現在のイテレーションは、最大10,000クライアントをサポートするように構成することができます。GUPが多数のクライアントを更新できるようにするには、最大レベルの同時ダウンロード（1000）および最大レベルの帯域幅（無制限）を処理できるようにGUPを構成する必要があります。

GUP で利用可能な物理的なハードディスク容量

デフォルトでは、GUP は次の 2 つの条件下で、キャッシュからコンテンツを自動的にパージします。

GUP 上のコンテンツが [更新のアップデートに使える最大ディスクキャッシュサイズ] で設定されたサイズよりも大きくなる場合。このような場合、新しいコンテンツ用の余地ができるまで、GUP は最後にアクセスされた時間に従って最も古いコンテンツをパージします。

[更新のアップデートに使える最大ディスクキャッシュサイズ] を少なくとも 2048 MB に設定します。この設定により、32 ビットと 64 ビットの両方のコンテンツのフルセット用の容量が確保されます。
 
個別のコンテンツが [未使用のコンテンツ更新を削除する] 設定よりも古い場合。このような場合、GUP はより古いコンテンツを削除します。この数値を増やす場合は [更新のアップデートに使える最大ディスクキャッシュサイズ] も同様に増やす必要があります。

GUP の他のハードウェアおよびソフトウェアの制限事項

シマンテックは、様々なハードウェアおよび OS 構成で GUP の役割をテストしてきました。このテストを通じて、GUP の役割がテストシステムの CPU、メモリ、I/O 負荷に最小限追加されることが分かりました。

GUP の役割が生成する負荷は、次の値に基づいて増加します。

• GUP からアップデートするように構成したクライアントの数
• クライアントが要求する大規模な差分またはフルコンテンツのアップデートの量
• 環境内で定義がアップデートされる頻度

GUP ハードウェアおよびソフトウェアの基本的な考慮事項は次のとおりです。

• GUP として機能するために使用されているコンピュータに、CPU とメモリの容量が十分に確保されていることを確認します。これにより、コンテンツを SEP クライアントに提供する通常の操作を続行できます。
• デフォルトでは、Windows は同時に最大 5000 TCP 接続を許可するように構成されています。この構成では、GUP は 1 秒間に 40 回のクライアント接続を処理できます。(サーバー OS)
• Windows は、同時に最大 65534 TCP 接続を許可するように構成できます。この構成では、GUP は 1 秒間に 180 回のクライアント接続を処理できます。(サーバー OS)

GUP 可用性

SEP クライアントが 1 つの GUP のみからアップデートを取得するように構成されており、クライアントがコンテンツのアップデートを 24 時間 365 日いつでもダウンロードできるようにしておく必要がある場合は、GUP コンピュータが定期的にオフにならないようにしてください。このような状況では、夜間または週末にオフになる可能性があるワークステーションに GUP としての機能を持たせることは適切ではない場合があります。代わりに、常にオンになっているサーバーがより適切です。

さらに、SEPM からの GUP ダウンロード速度が抑制または制限される場合、ほとんどオフにされないコンピュータを使用することの重要性が高まります。GUP と SEPM の間の接続が非常に遅い、または極度に抑制されている環境では、GUP が SEPM から完全なコンテンツパッケージをダウンロードするのに数時間かかる場合があります。数時間後に電源がオフになるコンピュータでは、完全な定義パッケージをダウンロードするための十分な時間が確保できない可能性があります。

[英語文書] Group Update Provider (GUP) best practices