Best Practices zur Konfiguration der Off-Box-Antivirus-Funktion in ONTAP
Beachten Sie die folgenden Empfehlungen zur Konfiguration der Off-Box-Funktion in ONTAP.
-
Beschränken Sie privilegierte Benutzer auf Virenprüfungen. Normale Benutzer sollten von der Verwendung privilegierter Benutzeranmeldeinformationen abschrecken. Diese Einschränkung kann erreicht werden, indem die Anmelderechte für privilegierte Benutzer in Active Directory deaktiviert werden.
-
Privilegierte Benutzer müssen nicht Teil einer Benutzergruppe sein, die über eine große Anzahl von Rechten in der Domäne verfügt, z. B. der Administratorengruppe oder der Gruppe der Backup-Operatoren. Privilegierte Benutzer dürfen nur durch das Storage-System validiert werden, damit sie Vscan-Serververbindungen herstellen und auf Dateien für Virenprüfungen zugreifen können.
-
Verwenden Sie die Computer, auf denen Vscan-Server ausgeführt werden, nur für Virenscans. Um die allgemeine Nutzung zu verhindern, deaktivieren Sie die Windows-Terminaldienste und andere Remote-Zugriffsbestimmungen auf diesen Computern und gewähren das Recht, neue Software nur Administratoren auf diesen Computern zu installieren.
-
Widmen Sie die Vscan-Server Virenprüfungen und verwenden Sie sie nicht für andere Vorgänge, z. B. Backups. Sie können den Vscan-Server als virtuelle Maschine (VM) ausführen. Wenn Sie den Vscan-Server als VM ausführen, stellen Sie sicher, dass die der VM zugewiesenen Ressourcen nicht gemeinsam genutzt werden und zum Durchführen eines Virus-Scans ausreichen.
-
Bereitstellen einer ausreichenden CPU-, Arbeitsspeicher- und Festplattenkapazität für den Vscan-Server, um eine übermäßige Zuweisung von Ressourcen zu vermeiden. Die meisten Vscan-Server sind für die Verwendung mehrerer CPU-Core-Server und die Verteilung der Last über die CPUs konzipiert.
-
NetApp empfiehlt für die Verbindung von SVM zu dem Vscan-Server die Verwendung eines dedizierten Netzwerks mit einem privaten VLAN, damit der Scan-Verkehr nicht durch anderen Client-Netzwerk-Traffic beeinträchtigt wird. Erstellen Sie eine separate Netzwerkkarte (NIC), die speziell für das Virenschutz-VLAN auf dem Vscan-Server und die logische Datenschnittstelle auf der SVM eingerichtet ist. Dieser Schritt vereinfacht die Administration und die Fehlerbehebung bei Netzwerkproblemen. Der Antivirus-Verkehr sollte über ein privates Netzwerk getrennt werden. Der Virenschutz-Server sollte so konfiguriert werden, dass er mit dem Domänencontroller (DC) und ONTAP auf eine der folgenden Arten kommuniziert:
-
Das DC sollte über das private Netzwerk, das zur Trennung des Datenverkehrs verwendet wird, mit den Antivirenservern kommunizieren.
-
Der DC- und Antivirus-Server sollten über ein anderes Netzwerk (nicht das zuvor erwähnte private Netzwerk) kommunizieren, das nicht mit dem CIFS-Client-Netzwerk identisch ist.
-
Um die Kerberos-Authentifizierung für die Virenkommunikation zu aktivieren, erstellen Sie einen DNS-Eintrag für die privaten LIFs und einen Dienstprinzipalnamen auf dem DC, der dem für die private LIF erstellten DNS-Eintrag entspricht. Verwenden Sie diesen Namen, wenn Sie eine LIF zum Antivirus Connector hinzufügen. Der DNS sollte in der Lage sein, einen eindeutigen Namen für jede private LIF zurückzugeben, die mit dem Antivirus Connector verbunden ist.
-
Wenn die LIF für Vscan-Datenverkehr für Client-Datenverkehr auf einem anderen Port als der LIF konfiguriert ist, kann die Vscan LIF ein Failover auf einen anderen Node durchführen, wenn ein Port-Ausfall auftritt. Die Änderung bewirkt, dass der Vscan-Server vom neuen Knoten nicht erreichbar ist und die Scanbenachrichtigungen für Dateivorgänge auf dem Knoten fehlschlagen. Vergewissern Sie sich, dass der Vscan-Server über mindestens eine LIF auf einem Node erreichbar ist, damit er Scananforderungen für Dateivorgänge verarbeiten kann, die auf diesem Node ausgeführt werden. |
-
Verbinden Sie das NetApp Storage-System und den Vscan-Server über mindestens ein 1-GbE-Netzwerk.
-
Verbinden Sie in einer Umgebung mit mehreren Vscan-Servern alle Server mit ähnlichen leistungsstarken Netzwerkverbindungen. Die Verbindung der Vscan-Server verbessert die Leistung durch die Möglichkeit der Lastverteilung.
-
Für Remote-Standorte und Zweigstellen empfiehlt NetApp die Verwendung eines lokalen Vscan-Servers statt eines externen Vscan-Servers, da ersterer sich ideal für eine hohe Latenz eignet. Wenn die Kosten ein Faktor sind, verwenden Sie einen Laptop oder PC für einen moderaten Virenschutz. Sie können regelmäßige vollständige Filesystem-Scans planen, indem Sie die Volumes oder qtrees gemeinsam nutzen und von jedem System am Remote-Standort aus scannen.
-
Verwenden Sie mehrere Vscan-Server, um die Daten auf der SVM für Lastverteilung und Redundanz zu scannen. Die Menge der CIFS-Workloads und der daraus resultierende Virenschutzdatenverkehr variieren je SVM. Überwachen Sie CIFS und die Latenz beim Virenscannen auf dem Storage Controller. Überwachen Sie den Trend der Ergebnisse im Laufe der Zeit. Wenn die CIFS-Latenz und die Latenz von Virenscans aufgrund von CPU- oder Anwendungswarteschlangen auf den Vscan-Servern über die Trendschwellenwerte hinaus zunimmt, kann es bei CIFS-Clients zu langen Wartezeiten kommen. Fügen Sie zusätzliche Vscan-Server hinzu, um die Last zu verteilen.
-
Installieren Sie die neueste Version des ONTAP-Virenschutzanschlusses.
-
Halten Sie Virenschutz-Engines und Definitionen auf dem neuesten Stand. Wenden Sie sich an Partner, um Empfehlungen zu erhalten, wie oft Sie Updates durchführen sollten.
-
In einer mandantenfähigen Umgebung kann ein Scanner-Pool (Pool von Vscan Servern) mit mehreren SVMs genutzt werden, vorausgesetzt die Vscan Server und SVMs sind Teil derselben Domäne oder derselben vertrauenswürdigen Domäne.
-
Die Virenschutzrichtlinie für infizierte Dateien sollte auf „löschen“ oder „Quarantäne“ gesetzt werden, was der von den meisten Antivirenanbietern festgelegte Standardwert ist. Wenn das "vscan-fileop-Profil" auf "write_only" gesetzt ist und eine infizierte Datei gefunden wird, bleibt die Datei in der Freigabe und kann geöffnet werden, da das Öffnen einer Datei keinen Scan auslöst. Die Virenprüfung wird erst ausgelöst, nachdem die Datei geschlossen wurde.
-
Der
scan-engine timeout
Wert sollte kleiner sein als derscanner-pool request-timeout
Wert. Wenn sie auf einen höheren Wert eingestellt ist, kann der Zugriff auf Dateien verzögert werden und möglicherweise eine Zeitverzögerung erreichen. Um dies zu vermeiden, konfigurieren Sie denscan-engine timeout
auf 5 Sekunden unter demscanner-pool request-timeout
Wert. Anweisungen zum Ändern derscan-engine timeout
Einstellungen finden Sie in der Dokumentation des Scannerherstellers. Derscanner-pool timeout
kann mit dem folgenden Befehl im erweiterten Modus und durch Angabe des entsprechenden Werts für denrequest-timeout
Parameter geändert werden:vserver vscan scanner-pool modify
. -
Bei einer Umgebung, die auf Scan-Workloads beim Zugriff ausgelegt ist und On-Demand-Scans erfordert, empfiehlt NetApp, den On-Demand-Scan-Job außerhalb der Spitzenzeiten zu planen, um zusätzliche Belastungen der vorhandenen Virenschutz-Infrastruktur zu vermeiden.
Weitere Informationen zu Best Practices für Partner finden Sie unter "Partnerlösungen von Vscan".