部署Symantec Endpoint Protection架构时需要参考的赛门铁克最佳实践指南。

　　1.确保所有SEP客户端和SEPM最低要运行 Maintenance Release 3，更好地利用最新的增强功能，在产品中增加了优化和修复。

　　2.对于拥有10到1500台机器的远程站点，考虑使用Symantec Endpoint Protection客户端“组更新提供程序”（Group Update Provider） 来进行内容分发，在从SAVCE迁移时，有一种方式是简单地在每个父服务器上安装常规SEP客户端（将替换父服务器），然后通过 SEPM 控制台配置这些新的 SEP客户端使其成为GUP。

　　如果“组更新提供程序”在三天内不可用（不可到达），则配置远程站点的Symantec EndpointProtection客户端，使其仅忽略“组更新提供程序”。

　　对于拥有少于10台机器的远程站点，最有效的办法是使本地SEP客户端直接连接至其 SEPM来获取内容更新，或通过互联网连接至Symantec Liveupdate。

　　当远程站点拥有超过50台机器时，请确保在持续开机并运行“服务器操作系统”（如本地Windows文件服务器）的计算机上运行GUP。

　　对于拥有超过1500个端点的远程站点，应考虑建立一个本地LUA分发点或增加一个SEPM站点（复制）是否更为适用。

　　3.将储存于SEPM数据的内容修订数量改为最少40这会使过期大约两周的SEP客户端仍然能够获得增量内容更新。

　　4.将SEPM站点和执行复制的数量最小化。单个SEPM站点能够满足大多数少于10000个位子的环境需要考虑多重SEPM站点和相互间复制的情况：如果各端点分散地部署在不同地区，并且每个地区必须拥有本地SEPM控制台访问权，那么在地区站点和中心站点之间的广域网链接中断时，本地团队仍然可以在其所在区域访问本地SEMP控制台。

　　如果地方站点包含1500以上的端点，相比利用“组更新提供程序”功能，建立SEPM站点（SEPM和数据库）更为适用。另一种选择是建立LUA分发点。

　　如需执行复制：将相互复制的站点数量最小化（须考虑“组更新提供程序”功能的使用是否适用于其中的任一站点）。

　　注意：最佳方案是将复制站点的数量控制在5个以下，强烈推荐该数量不超过20个。

　　请不要复制内容和客户端安装软件包。最佳方案是使每个SEPM站点通过互联网从Symantec Liveupdate获取内容更新。

　　在可能的情况下，在复制登入/登出数据时，请确保此操作仅为单向操作（例如，3个区域SEPM分站将登入信息单向发送至中心SEPM站点）。

　　复制无需过于频繁，一小时一次以上即可。

　　如果超过3个SEPM站点进行复制操作，推荐的复制频率是不小于每天一次（可以选择日期来预订复制次数，这样就不会与其他站点的复制或预定的Liveupdate安排产生冲突）。

　　5.将受管SEP客户端的通讯配置为在PULL模式下最低心跳30分钟这能够在客户端数据到达SEPM的时间和SEP客户端之间产生的网络流量之间提供良好的平衡保持启动随机下载，并设置为默认的5分钟。这适用于大多数环境。

　　6.如果为数据库使用MS-SQL，则在每个SEPM站点中部署至少2个SEPM，并配置客户端在SEPM之间进行负载平衡处理。

　　这可以确保在一个SEPM下线时，另外一个SEPM来管理SEP客户端。

　　定期的数据库备份是必须的，如果不想让数据库存在潜在的单点故障，可以执行两个数据库（MS-SQL）机器的集群。

　　如果使用“嵌入式数据库”，则可以在第二个SEPM站点（在另一个独立机上）设置“嵌入式数据库”，然后每天在站点之间进行复制，即可达到相似的容错度。

　　7.如果为数据库使用MS-SQL，请确保数据库所在计算机与SEPM处于同一个局域网中，或至少能够以局域网连接的速度与质量进行相互通讯

　　8.如果远程站点通过广域网连接至设置在中心（独立）站点的SEPM数据库计算机，请不要在远程站点部署单独的SEPM（没有本地数据库）

　　9.如果为SEPM数据库使用MS-SQL，最好能够在物理机（相对于虚拟机）上运行。这样可以确保减少磁盘I/O和其他资源瓶颈的发生。

　　10.如端点总数超过5000，推荐为SEPM数据库使用MS-SQL。

http://www.8844.com/html/a/2011/03-08/339207.html