ビジネスサポートポータルアカウントでログイン
Windows Server 2003 (32bit)で非ページプールが枯渇してしまう  

Windows Server 2003 (32bit)で非ページプールが枯渇してしまう

    • 更新日:
    • 17 Jul 2017
    • 製品/バージョン:
    • Trend Micro Deep Security All.All
    • Trend Micro Deep Security as a Service All.All
    • OS:
    • Windows すべて
概要
 

Windows Server 2003 SP2(32bit) / Windows Server 2003 R2 SP2 (32bit)にDeep Security Agent(以下、DSA)をインストールして侵入防御ルールを多数展開したところ、非ページプールが枯渇してしまいました。

この原因と対処方法について教えてください。
詳細
Public

障害内容

Windows Server 2003 SP2(32bit) / Windows Server 2003 R2 SP2 (32bit)にDSAをインストールし、侵入防御機能を使ってIPSルールを多数適用している場合に、Windows Server 2003 の非ページプールを枯渇させてしまう事象が確認されております。

非ページプールの枯渇により、他ミドルウェアやOSがハングアップしてしまう事象が確認されております。

事象発生の背景

本事象発生の背景として、以下の2点が挙げられます。

  1. Windows Server 2003 SP2(32bit) / Windows Server 2003 R2 SP2 (32bit)では、物理メモリをいくら増設してもカーネルで利用可能な非ページプールの上限が256MBに制限されています。
    詳細については、以下のMicrosoft社の文献をご参照ください。

  2. DSAの各機能は非ページプールの領域を使用します。また、非ページ領域の消費量はIPSルール数、検知数(ハンドルしているTCP数)に依存します。

    参考情報

    トレンドマイクロの検証環境でパッチマネージメントをされていないWindows Server 2003 OSでDeep Securityの「推奨設定の検索」機能を利用した場合は、100以上のルールが検出されています。

回避策

本事象はWindows 32ビットカーネルの制約によって発生している問題のため、回避策としては適用するIPSルールを手動で削減するチューニングが必要となります。

運用方法として推奨設定の検索+自動適用を選択されていた場合、自動適用ではなく手動での適用に切り替えていただくことを推奨いたします。

新規にWindows Server 2003 SP2(32bit) / Windows Server 2003 R2 SP2 (32bit)環境へDSAのインストールを検討される場合は、事前に非ページプールの空き容量をご確認いただき、100MB以上の空きがない場合はIPSルールの手動適用での運用をご検討ください。

また本事象はDeep Securityのようなアプリケーション側で抜本的に回避することが難しい事象です。

事象の発生確率を低減させる対処方法としては、以下のような運用も合わせてご検討ください。

64ビットOSへの移行

32ビットのWindowsで発生している場合、最も確実な対処方法は64ビットOSへの移行となります。全く同量の物理メモリを搭載している場合でも、64ビットOSではカーネルで利用可能な非ページプール領域が大幅に拡大されます。

適用するルールの削減

DPI(侵入防御) / ファイアウォール / セキュリティログ監視 / 変更監視等、あらゆるルールの適用によってカーネルメモリの利用量が増加します。ルールの適用を必要最小限に抑える事によって、事象の発生確率を低減できる可能性があります。

定期的なOSの再起動

非ページプール領域は、カーネルモードで動作するあらゆるドライバが共有で利用 します。システムの稼働を長期間続けるにつれ、様々なドライバがメモリの確保・開放を繰り返した結果として、連続したメモリ領域を確保するのが次第に困難 となっていきます。システムが起動してから事象が発生するまでの期間がある程度一定している場合、その期間よりも短い頻度で定期的にシステムを再起動すれ ば事象の再発を抑止できる可能性が高まります。

負荷分散

特定のコンピュータに負荷が集中しているような環境であれば、ロードバランサー等を導入して負荷分散させる事によって事象の発生確率を大幅に低減できる可能性があります。

補足

  • 本事象はWindows Server 2003の32bitOSでのみ確認されています。
  • 本事象はDSAでのみ確認されています。Deep Security Virtual Applianceでは確認されていません。
Premium
Internal
評価:
カテゴリ:
機能/仕様; 動作トラブル
Solution Id:
1105159
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド