Перейти к содержанию

Recommended Posts

beelesnik

Добрый день.

Имеются сервер и клиенты SEP 11.0.6000.550.

После того, как количество клиентов перевалило за 15000 начал периодически наблюдать следующую картину.

На клиенте в щите SEP пропадает зеленая точка (как я понимаю связь с сервером), плюс если зайти в Help and Support - Troubleshooting в строке Server вместо адреса или имени сервера вижу "Offline". Затем через некоторое время зеленая точка появляется в щите клиента и в строке Server снова появляется адрес-айпишник. Клиенты - Pull с интервалом опроса 1 раз в час.

Правильно ли я понимаю, что это могут быть симптомы критической нагрузки на сервер SEP?

Чем это может грозить и как с этим бороться?

Спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

15000 компов это имхо много для одного сервера.

Поднимите второй SEPM в режиме балансировки или как дополнительный и перебросьте на него часть клиентов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
beelesnik
15000 компов это имхо много для одного сервера.

Поднимите второй SEPM в режиме балансировки или как дополнительный и перебросьте на него часть клиентов.

Вообще говоря, серверов SEP - два. Основной и резервный.

Включил дебаг на клиенте. Вижу вот это:

06/29 12:14:30 [3632] <GetIndexFileRequest:>SMS return=503

06/29 12:14:30 [3632] <ParseHTTPStatusCode:>503=>503 SERVICE NOT AVAILABLE

06/29 12:14:30 [3632] HTTP returns status code=503

06/29 12:14:30 [3632] <GetIndexFileRequest:>RECEIVE STAGE COMPLETED

06/29 12:14:30 [3632] <GetIndexFileRequest:>COMPLETED

06/29 12:14:30 [3632] <IndexHeartbeatProc>GetIndexFile handling status: 503

06/29 12:14:30 [3632] <IndexHeartbeatProc>Switch Server flag=1

06/29 12:14:30 [3632] HEARTBEAT: Check Point 5.1

06/29 12:14:30 [3632] <ScheduleNextUpdate>new scheduled heartbeat=128 seconds

06/29 12:14:30 [3632] HEARTBEAT: Check Point 8

06/29 12:14:30 [3632] Get Next Server!

06/29 12:14:30 [3632] <IndexHeartbeatProc>switch to another server

06/29 12:14:30 [3632] <DecrementScheduleTime:>New scheduled heartbeat=64 seconds

06/29 12:14:31 [3632] HEARTBEAT: Check Point 1

06/29 12:14:31 [3632] HEARTBEAT: Check Point 2

06/29 12:14:31 [3632] <PostEvent>going to post event=EVENT_SERVER_CONNECTING

06/29 12:14:31 [3632] <PostEvent>done post event=EVENT_SERVER_CONNECTING, return=0

06/29 12:14:31 [3632] HEARTBEAT: Check Point 3

06/29 12:14:31 [3632] <IndexHeartbeatProc>Setting the session timeout on Profile Session to 30000

06/29 12:14:31 [3632] HEARTBEAT: Check Point 4

Кстати, сейчас обратил внимание, что на сервере присутсвуют ошибки вида:

sep unexpected server error error code 0x10010000.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

1) Запустите dbvalidate.bat - будут ли ошибки?

2) Заупустите Symantec Endpoint Protection Support Tool

URL: http://service1.symantec.com/support/ent-s...008071709480648

на клиенте и на сервере. Будут ли ошибки?

Установлен ли IPS или NTP (Network threat protection) на сервере?

3) Проверьте права на директории SEPM

4) что в логе SEPM scm-server-0.log ?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
beelesnik
1) Запустите dbvalidate.bat - будут ли ошибки?

2) Заупустите Symantec Endpoint Protection Support Tool

URL: http://service1.symantec.com/support/ent-s...008071709480648

на клиенте и на сервере. Будут ли ошибки?

Установлен ли IPS или NTP (Network threat protection) на сервере?

3) Проверьте права на директории SEPM

4) что в логе SEPM scm-server-0.log ?

Специалисты Symantec указали на статью http://service1.symantec.com/support/ent-s...c9?OpenDocument

Увеличил соответствующий параметр вдвое - мониторю что и как.

Кстати, а как можно посмотреть сколько клиентов на каком из серверов SEP сидят?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell
Кстати, а как можно посмотреть сколько клиентов на каком из серверов SEP сидят?

На глазок только. Потому как через минуту при балансировке клиент может быть на другом уже сервере. Щелкнуть на главной в SEPM по virus distribution --> посмотреть Virus Definitions Distribution на каждый сервер. Клиент отдает СВОЕМУ управляющему серверу информацию. Иных способов помоему нет. Если только базу копнуть... Сделать выборку из БД SQL таблицы SEM_AGENT с сортировкой по полю [LAST_SITE_ID]. Пример:

SELECT [AGENT_ID],[AGENT_VERSION],[LAST_SERVER_ID],[PROFILE_SERIAL_NO],[COMPUTER_ID],(select top 1 [COMPUTER_DOMAIN_NAME]  from [Endpoint].[Endpoint].[sEM_CLIENT] where [COMPUTER_ID] = [sEM_AGENT].[COMPUTER_ID])FROM [Endpoint].[Endpoint].[sEM_AGENT]order by [LAST_SERVER_ID]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Шабуров

я бы использовал примерно следующий запрос:

select "name", count (*) from sem_agent, identity_map where identity_map.id=sem_agent.last_server_id and identity_map.type='semserver' and sem_agent.deleted=0 group by "name", last_server_id

покажет он только то, сколько клиентов последний раз подключались к какому серверу. В принципе, при следующем включении они будут снова пытаться подключиться к этому серверу. Но есть небольшое НО: если клиент больше никогда не включится, то он будет выдаваться этим запросом до тех пор, пока не будет удален (скорее всего это поизойдет по истечению времени, указанного в настройках SEPM).

Т.ч. запрос более- менее показывает кол-во клиентов на каждом сервере. Но это не текущее кол-во подключений....

Может, кому-нибдуь да поможет))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×