Настройка GUP

[radamol 18]

В документе SEP_Group_Update_Provider_Best_Practise.pdf есть такая фраза

Step 7: The client sort numerically the list of GUPs available for their subnet and contact individually each of these until it get a reply. If no reply for any of the listed GUPs in the subnet then an attempt is made to contact the backup GUP on a remote subnet, if none replied the client will attempt to connect to the SEP Manager to download the content update.

Т.Е. я понял это так.

В политике LiveUpdate для My Company в параметрах сервера указываем в Списке поставщиков обновлений группы по одному IP-адресу для каждой подсети. Клиент, согласно SEP_Group_Update_Provider_Best_Practise.pdf, получает файл globallist.xml и пытается установить контакт в своей подсети и получить ответ. Если нет - идет на резервный сервер обновления.

Вопрос следующий.

Есть ли необходимость создавать политики расположения на основе подсетей и указывать для каждого расположения свой GUP, или достаточно перечислить все IP-шники GUP в общей политике LiveUpdate, а дальше сам клиент найдет GUP в своей подсети?

Вопрос вызван тем, что сеть разветвленная и есть необходимость назначать более 100 GUP-ов.

[Shell 301]

В документе SEP_Group_Update_Provider_Best_Practise.pdf есть такая фраза

Step 7: The client sort numerically the list of GUPs available for their subnet and contact individually each of these until it get a reply. If no reply for any of the listed GUPs in the subnet then an attempt is made to contact the backup GUP on a remote subnet, if none replied the client will attempt to connect to the SEP Manager to download the content update.

Т.Е. я понял это так.

В политике LiveUpdate для My Company в параметрах сервера указываем в Списке поставщиков обновлений группы по одному IP-адресу для каждой подсети. Клиент, согласно SEP_Group_Update_Provider_Best_Practise.pdf, получает файл globallist.xml и пытается установить контакт в своей подсети и получить ответ. Если нет - идет на резервный сервер обновления.

Вопрос следующий.

Есть ли необходимость создавать политики расположения на основе подсетей и указывать для каждого расположения свой GUP, или достаточно перечислить все IP-шники GUP в общей политике LiveUpdate, а дальше сам клиент найдет GUP в своей подсети?

Вопрос вызван тем, что сеть разветвленная и есть необходимость назначать более 100 GUP-ов.

GUP назначается на группу в SEPM.

Сколько гупов и для каких групп - решать Вам исходя из балансировки нагрузки на сам GUP, каналы связи.

Если клиенты с других подсетей могут соединяться с гупом в другой сети и каналы нормальные - можно не назначать GUP в этой подсети.

С версии RU5 вы также можете для одних и тех же клиентов создать несколько GUP источников обновлений.

[radamol 18]

Уточняю вопрос. В SEPM импортирована структура организации из АД и у меня нет групп. Снимать наследование политик я не хочу. Сеть распределенная по 26 городам и имеет более 500 подсетей (отделений и филиалов). Есть необходимость применения GUP.

Собственно в этом и вопрос. Или создавать расположения по подсетям и делать для каждого расположения свой ГУП, но это очень громоздко. Или в общей политике перечислить все ИП-шники ГУПов в надежде что клиенты, получив список globallist.xml сами разберутся какой ГУП принадлежит ИХ подсети. И как происходит проверка - просто обращение ко всем перечисленным в списке машинам или анализ списка на принадлежность к "родной" подсети.

The client sort numerically the list of GUPs available for their subnet and contact individually each of these until it get a reply.

[Shell 301]

В SEPM импортирована структура организации из АД и у меня нет групп

Как это? Оо

На каждую OU импортированную можно применить свою политику. В том числе повесить и GUP (политика LU).

ГУП принадлежит ИХ подсети.

Те гупы которые будет доступны для клиента в его сети по порядку - будут и взяты со списка и с них пройдет обновление. Не будет выбора у клиента типа "я в сети А, значит ищем из списка GUP из сети А". Будет первый GUP из списка доступен - он и будет источником обновлений.

[radamol 18]

О. Это уже ближе к моему пониманию.

1.Т.е. клиент просто перебирает по-порядку ГУПы - кто первый ответит из списка.

2. Группы конечно есть, я имел в виду нет не входящих в ОУ. Тогда вопрос такой: как назначить контейнеру ОУ (а это у меня и есть подсеть) ГУПа не снимая наследование политик. Я понимаю что можно снять наследование и сделать non-shared политику, но кроме управления расположениями ничего не могу придумать.

[Shell 301]

1) именно. можно еще поставить чтобы клиент переключался по гупам - но не придет мне в голову что то ситуация когда можно было бы применить это.

2) Наследование есть наследование. Если вы его снимете, создадите политику и снова включите наследование - все естественно измениться на исходное состояние.

Non-shared-ом можно сделать любую политику. Вопрос уже чисто ваш. Как и что сделаете. Здесь трудно советовать.

[radamol 18]

Спасибо за уделенное время. Но продолжу.

1. Ну например ноутбук ездит по отделениям с ревизорами, об этом речь?

2. Мои мучения и проистекают от дилеммы: либо создавать расположения в My Company, но тогда большое количество расположений (каналы к сожалению не такие широкие, как хотелось бы). Либо снимать наследование для филиалов и для них создавать расположения. Тогда они не видны всем в других филиалах, но тогда надо следить за их политиками.

[radamol 18]

А кстати, только что прошло обновление на 70 мБ, хорошо что ГУПов успел развернуть и трафик ограничить. Хотя все равно промазал. Суммарно отделения забили трафик канала филиала на головной офис.

Кствти что это за жуткое обновление, кто подскажет? Предыдущие были около 250-350кб.

На GUPe в C$\Program Files\Symantec\Symantec Endpoint Protection\SharedUpdates\#content#{C60DC234-65F9-4674-94AE-62158EFCA433}#100201048#Full!zip - 69 105кб

Antivirus and antispyware definitions Win64 11.0 MicroDefsB.CurDefs 2010-02-01 rev. 048 2 Февраль 2010 г. 9:52:54 EET

Antivirus and antispyware definitions Win32 11.0 MicroDefsB.CurDefs 2010-02-01 rev. 048 2 Февраль 2010 г. 9:55:00 EET

[Shell 301]

Ежедневные обновления весят от 40 до 80 Мб. При передаче на GUP они каким либо образом не будут сжиматься. Пытаться ужимать их винраром и прочими - абсолютно безсмысленно Вот примеры посмотрите последние.

На гупе будет только одна ревизия. Как раз по размеру сколько закачает.

Если ездит ноутбук, подключается меняя IP - это ... проблема. Настраивайте Managed Locations. Чтобы клиент правильно попадал в нужную группу на вашем объекте\филиале по его сетевым параметрам. Но, сразу скажу что в SEPM это не всегда срабатывает (клиент устойчиво остается в той же группе или слетает в Default).

Либо снимать наследование для филиалов и для них создавать расположения. Тогда они не видны всем в других филиалах,

вот этого я не понял. кому не видны? Другим админам в SEPM - так это делается в настройках учетки (чем может управлять, чем нет).

Вообще, честно говоря, я бы вам крайне не советовал использовать полностью структуру импортированную из AD. По опыту, с 3000+ хостами на аутсорсе на одном SEPM - это глупо, деревянно, не гибко... Политики в AD и политики в SEPM - это настолько разные вещи... Частично можно делать импорт отдельных OU.

[lexx 5]

Лично мое мнение: ГУП работал плохо, а после всех этих событий с датой 31-12-2009 стал еще хуже работать. Некоторые ГУПы не закачивают обновления по несколько дней (причем судя по логам даже и не пытаются), а некоторые закачивают по 80 Мб, причем каждый день.

Попробовал отключить ГУП - в течение дня постепенно все в группе обновились. Но накачали не хило. Теперь обратно включил ГУП и наблюдаю то, о чем написал выше.

[radamol 18]

Ну ситуация пока непонятна.

Согласно http://www.symantec.com/business/security_...l.jsp?gid=savce

Сегодня

20100201-048-v5i32.exe | FTP 2/1/10 2/1/10 58.46 MB

Предыдущий

20100201-009-i32.exe | FTP 2/1/10 2/1/10 68.06 MB

А у меня на ГУПЕ

сегодня

#content#{C60DC234-65F9-4674-94AE-62158EFCA433}#100201048#Full!zip - 69105кб

Предыдущий

#content#{C60DC234-65F9-4674-94AE-62158EFCA433}#100201033#xdelta100201009!dax - 241кб

Т.е. я так понимаю что для предыдущего пришла дельта а это обновление - полностью?