原因
一部のファイアウォールルールでは、保護対象のコンピュータがドメイン内に存在するか否かによって動作を変更します。
ドメイン内に存在するかどうかの判定基準として、DSAは10秒間隔(初期設定)でICMP(PING)によるドメインコントローラ(以降、DC)との疎通確認を行います。この疎通確認処理がCPUリソースを一時的に消費し、CPUリソースが限られている環境では顕著なCPU使用率増大に繋がります。
事象の緩和策
定期的なCPU使用率の増大を緩和する対処法として、以下のいずれかが挙げられます。
-
CPUリソースの増強
保護対象コンピュータが仮想マシンで、CPUリソースの割り当てが少ない場合、仮想マシンに割り当てるCPUリソースを増強する事によってDCとの疎通確認処理におけるシステム全体のCPU使用率を大幅に低下できます。
-
DCとの疎通確認の間隔を延長する
DCとの疎通確認の間隔は、[管理]→[システム設定]→[コンテキスト]画面の
「テスト間隔」で定義されています。この項目は最長で5分まで延長可能です。
Deep Security 10.0~12.0をご利用の場合はポリシーで使用するコンテキストの定義をご参照ください。
※リンク先の画面左上のリストから対象バージョンを選択してください。
Deep Security 20.0をご利用の場合はポリシーで使用するコンテキストの定義をご参照ください。
Cloud One - Workload Security をご利用の場合はポリシーで使用するコンテキストの定義をご参照ください。
DCとの疎通確認を無効化する方法
Deep Security Manager 10.0 Update 2 (10.0.3297) 以降では、上述の「テスト間隔」を「なし」に設定する事によって、DCとの疎通確認を無効化できます。
DCとの疎通確認は、不正プログラム対策機能およびWebレピュテーション機能の[Smart Protection]タブで、「ドメインに参加していない場合はGlobal Smart Protectionサービスに接続 (Windowsのみ)」にチェックが入っている場合にも利用されています。
該当のチェックが有効化されている状態でDCとの疎通確認を無効化した場合、DSAはローカルにインストールされたSmart Protection Serverを利用しなくなりますので、DCとの疎通確認を無効化する際には該当のチェックを外してください。
