多站点，复制解决方案和单站点，多服务器结局方案的整合

    SEPM 数目过多：

    有的企业的客户端地理位置的分布非常多，设计上需要大量的SEPM服务器。在这种情况下，一个站点能够支 持的 SEPM 的数目是有限的（极限是 10 个，建议不多于 4 个），以及复制站点的数目也是有限的（极限是 20 个，建议不多于 5 个）。这种情况下会出现 SEPM 数目过多，那种设计都不满足的情况。此时可以采用多站 点，复制与每个站点多服务器的解决方案。

    一般情况下有：

    3（站点）X 3（每站点 SEPM）
    3（站点）X 4（每站点 SEPM）
    3（站点）X 5（每站点 SEPM）
    4（站点）X 4（每站点 SEPM）（中心 — 分支型）
    4（站点）X 5（每站点 SEPM）（中心 — 分支型） 这些比较简单的解决方案。

    Symantec Endpoint Protection 的架构中，SEPM 的处理能力很强，因此在方案设计时，尽可能的减少所需要的 SEPM 是一个好的做法。

    用户有容错和负载均衡的需求

    对于在复制结构中的某些站点，用户出于容错和负载均衡的需求，也会要求增加 SEPM 的数目。一般这种情况 下，一个站点的 SEPM 数目不会超过 3 台，而且这些 SEPM 在同一个局域网内。对于中心—分支型的复制拓扑结构，我们建议对于中心站点建立多个 SEPM 以进行容错，负载均衡。

    什么样的情况适合此部署模式？

    在这种部署方式下，每一个站点表示拥有一台独立的数据库，以及一个或者多个SEPM。但是各个站点之间的 数据不进行复制，也就是不需要同步；或者只有一部分站点之间的数据进行复制，其他站点之间的数据不进行 复制。这是一种松散的，开放的管理方式。

    一般来讲，如果企业的客户端位于多个地理位置，且各个地理位置之间网络带宽比较小；用户并没有日志集 中，统一报表的需求，或者日志可以通过SSIM，或者第三方日志收集工具（Syslog服务器等）可以做到集中， 统一报表；而且在以后的SNAC扩展中，Enforcer不验证客户端的GUID。在这种情况下，建议采用这种多站 点，不复制解决方案。

    服务器系统要求：

    关于最低系统要求，请参考 Installation Guide。基于常见的一些问题，有以下建议

    1、推荐使用 SQL server 2005 64 bit。
    2、服务器硬件：如果使用 SQL server 数据库，推荐多 CPU, 16G 内存剩余硬盘空间 40G 以上。
    3、操作系统推荐采用 Windows server 2003 sp2 （如果是 R2，需要使用 IE7）
    4、如果有的站点需要多个 SEPM，对于没有数据库的 SEPM，推荐使用双 CPU，4G 内存，20G 剩余硬盘空 间。

    网络要求：

    对于这种多站点，不复制的解决方案， 对于网络带宽的要求是最低的。只需要网络可达，管理员可以使用远程 控制台进行管理即可。如果部分站点之间需要复制，或者部分站点的 SEPM 之间需要容错和负载均衡，需要相应部分的网络带宽满足相应的“单站点，多服务器”或者“多站点，复制”的需求。

    管理方式要求：

    在这种方式下，由于没有大规模的服务器之间数据交换的需求，部署所面临的风险相对于单站点，多服务器方 式和多站点，复制的方式要小很多；但是相应地来讲，某些依赖于这种服务器之间数据交互的功能就会受到限 制：

    1、每个站点之间不能共享客户端安装包。每个站点的客户端安装包需要管理员手动添加（而即使站点可以复 制，手动添加客户端安装包也是推荐的做法）。

    2、每个站点的内容更新需要独立下载。可以通过 Symantec Liveupdate 服务器下载；如果用户有从总部下载内容更新的需求，可以在总部建立内部 Liveupdate 服务器以供每个站点下载内容更新。

    3、每个站点的日志只能在这个站点范围内汇总，而不能做到所有独立的站点之间的日志和报告的汇总。如果 用户有所有站点的日志集中，统一报表的需求，可以借助于其它产品，比如 SSIM，Syslog 服务器；或者 认为的对于导出的日志和报表做编辑以进行汇总。

    4、Symantec 给出的一个解决方案 Master Console 适用于这种部署方式。在这种部署方式下，使用 Master Console，可以更加简单和有效地对各个独立的站点进行策略的分发，管理和监控，以及日志的统一收集 和报表的生成。

    什么样的情况适合此部署模式？

    SNAC 扩展的要求：

    在这种方式下，由于各站点的数据是独立的，各站点之间客户端的 GUID 没有办法共享，会造成 Enforcer 不能 验证通过其它的站点的客户端的 GUID，因此客户端出差到不同的站点进行准入的时候遇到一定的困难。漫游 到其他站点的客户端无法通过其 Enforcer 的验证。

    以下几个方法可以解决这个问题：

    1、使用 Gateway Enforcer 的 On-demand 方式。
    2、临时采用使用 SylinkDrop.exe，来给来访的客户端替换本地站点服务器的 Sylink.xml。
    3、采用 Gateway Enforcer 的本地验证，并且让 Gateway Enforcer 平时不与 SEPM 通信，这样就不会验证客 户端的 GUID。