ウイルススキャン処理を特権ユーザーに限定します。一般ユーザーが、特権ユーザーのクレデンシャルを使用できないようにします。これは、Active Directoryで特権ユーザーのログイン権限をオフにすることで実現できます。
特権ユーザーは、AdministratorsグループやBackup Operatorsグループなど、ドメイン内で多数の権限を持つ何らかのユーザーグループの一員である必要はありません。特権ユーザーは、Vscanサーバー接続を作成したり、ウイルススキャンのためにファイルにアクセスしたりできるように、ストレージシステムのみによって検証される必要があります。
Vscanサーバーが実行されているコンピューターは、ウイルススキャンの目的でのみ使用します。一般的な用途で使用されるのを防ぐため、これらのマシンではWindows Terminal Servicesやその他のリモートアクセスプロビジョニングを無効にしておき、マシンに新しいソフトウェアをインストールするための権限は管理者だけに付与するようにします。
Vscanサーバーはウイルススキャン専用にし、バックアップなどの他の処理には使用しないようにします。Vscanサーバーは、仮想マシン（VM）として実行することもできます。その場合は、VMに割り当てられたリソースが共有されておらず、ウイルススキャンを実行するのに十分であることを確認してください。
リソースのボトルネックを回避するために、Vscanサーバーには十分なCPU、メモリー、ディスク容量を提供します。ほとんどのVscanサーバーは、マルチコアCPUのサーバーを使用して、CPU全体に負荷を分散する設計になっています。
SVMからVscanサーバーの接続には、スキャントラフィックが他のクライアントネットワークトラフィックから影響を受けないようにするため、プライベートVLANによる専用のネットワークを使用することを推奨しています。Vscanサーバー上のウイルス対策VLANと、SVM上のデータLIFには、専用の独立したNICを作成します。こうしておくと、ネットワークで問題が発生した場合の管理とトラブルシューティングがしやすくなります。プライベートネットワークを使用して、AVトラフィックを分離するようにします。AVサーバーは、次のいずれかの方法でドメインコントローラー（DC）やONTAPと通信するように構成します。
- DCとAVサーバーが、トラフィックの分離に使用されるプライベートネットワークを介して通信する。
- DCとAVサーバーが、CIFSクライアントネットワークとは異なる別のネットワーク（前述のプライベートネットワークではないもの）を介して通信する。

AV通信でKerberos認証を機能させるには、プライベートLIF用のDNSエントリと、プライベートLIF用に作成されたDNSエントリに対応するDC上のサービスプリンシパル名を作成します。このサービスプリンシパル名は、AVコネクタにLIFを追加するときに使用します。DNSは、AVコネクタに接続されている各プライベートLIFの一意の名前を返せるものである必要があります。

重要: Vscanトラフィック用のLIFがクライアントトラフィック用のLIFとは別のポートに設定されていると、ポート障害が発生した場合に、Vscan LIFが別のノードにフェイルオーバーされる可能性があります。この変化により、新しいノードからVscanサーバーに到達できなくなり、ノードでのファイル処理に関するスキャン通知が失敗します。Vscanサーバーがノード上の1つ以上のLIFを通じて到達可能であり、そのノードで実行されたファイル処理に関するスキャン要求を処理できることを確認してください。

ストレージシステムとVscanサーバーの接続には、1GbE以上のネットワークを使用します。
複数のVscanサーバーがある環境では、すべてのサーバーを同等のハイパフォーマンスネットワークで接続します。Vscanサーバーを接続すると、ロードシェアリングが可能になるのでパフォーマンスが向上します。
リモートサイトやブランチオフィスでは、リモートのVscanサーバーではなくローカルのVscanサーバーを使用することを推奨しています。高レイテンシの環境にはローカルのVscanサーバーが最適だからです。コストを重視する場合は、ラップトップやPCを使用して適度なウイルス対策を講じます。ボリュームやqtreeを共有してファイルシステム全体の定期スキャンのスケジュールを設定すると、それらをリモートサイトのシステムでスキャンできます。
ロードバランシングと冗長性確保のため、複数のVscanサーバーを使用してSVM上のデータをスキャンします。CIFSワークロードとそれに伴うウイルス対策トラフィックの量は、SVMごとに異なります。ストレージコントローラーのCIFSとウイルススキャンのレイテンシを監視して、監視結果の経時的なトレンドを把握します。CIFSのレイテンシとウイルススキャンのレイテンシが、Vscanサーバー上のCPUやアプリケーションのボトルネックにより、トレンドのしきい値を超えて増加すると、CIFSクライアントの待機時間が長くなることがあります。Vscanサーバーを追加して負荷を分散します。
最新バージョンのAntivirus Connectorをインストールします。サポート状況の詳細については、当社サポートにお問い合わせください。
ウイルス対策のエンジンと定義を常に最新の状態に保ちます。推奨される更新頻度については、Symantecにお問い合わせください。
マルチテナンシー環境では、スキャナプール（Vscanサーバーのプール）を複数のSVMで共有できます。ただし、VscanサーバーとSVMが同じドメインか、信頼できるドメインに属していることが条件になります。
感染したファイルに関するAVソフトウェアポリシーは、大半のAVベンダーが設定しているデフォルト値である、deleteまたはquarantineに設定します。vscan-fileop-profileがwrite_onlyに設定されていて、感染したファイルが検出された場合、ファイルは共有に残り、開くことができます。これは、ファイルを開いただけではスキャンはトリガーされないためです。AVスキャンは、ファイルを閉じるまでトリガーされません。
scan-engine timeoutの値は、scanner-pool request-timeoutよりも小さくする必要があります。前者を後者より大きい値に設定すると、ファイルへのアクセスが遅延し、最終的にはタイムアウトする可能性があります。これを回避するには、scan-engine timeoutの値をscanner-pool request-timeoutの値よりも5秒短く設定します。その際に、scan-engine timeoutの設定を変更する手順については、スキャンエンジンベンダーのドキュメントを参照してください。scanner-pool timeoutは、advancedモードでvserver vscan scanner-pool modifyコマンドを使用し、request-timeoutパラメーターに適切な値を指定することで変更できます。
オンアクセススキャンのワークロード向けにサイジングされていて、オンデマンドスキャンを使用する必要がある環境では、既存のAVインフラに余計な負荷がかからないように、オンデマンドスキャンのジョブをオフピークの時間帯にスケジュールすることが推奨されます。