ウイルススキャン処理を特権ユーザーに限定します。一般ユーザーが、特権ユーザーのクレデンシャルを使用できないようにします。これは、Active Directoryで特権ユーザーのログイン権限をオフにすることで実現できます。
特権ユーザーは、AdministratorsグループやBackup Operatorsグループなど、ドメイン内で多数の権限を持つユーザーグループの一員である必要はありません。ただし、Vscanサーバー接続を作成したり、ウイルススキャンのためにファイルにアクセスしたりできるように、ストレージシステムのみによって検証される必要があります。
Vscanサーバーが実行されているコンピューターは、ウイルススキャンの目的でのみ使用します。一般的な用途で使用されるのを防ぐため、これらのマシンではWindows Terminal Servicesやその他のリモートアクセスプロビジョニングを無効にしておき、マシンに新しいソフトウェアをインストールするための権限は管理者のみに付与します。
Vscanサーバーはウイルススキャン専用にし、バックアップなどの他の処理には使用しないようにします。Vscanサーバーは、仮想マシン（VM）として実行することもできます。VscanサーバーをVMとして実行する場合は、VMに割り当てられたリソースが共有されておらず、ウイルススキャンを実行するのに十分であることを確認してください。
リソースの過剰割り当てを回避するために、Vscanサーバーには十分なCPU、メモリー、ディスク容量を提供します。ほとんどのVscanサーバーは、マルチコアCPUのサーバーを使用して、CPU全体に負荷を分散する設計になっています。
SVMからVscanサーバーへの接続には、スキャントラフィックが他のクライアントネットワークトラフィックから影響を受けないようにするため、プライベートVLANによる専用のネットワークを使用することを推奨しています。Vscanサーバー上のウイルス対策VLANとSVM上のデータLIFに、専用の独立したネットワークインターフェイスカード（NIC）を作成します。こうしておくと、ネットワークで問題が発生した場合の管理とトラブルシューティングがしやすくなります。プライベートネットワークを使用して、ウイルス対策トラフィックを分離するようにします。ウイルス対策サーバーを、次のいずれかの方法でドメインコントローラー（DC）やONTAPと通信するように構成します。
- DCとウイルス対策サーバーが、トラフィックの分離に使用されるプライベートネットワークを介して通信する。
- DCとウイルス対策サーバーが、CIFSクライアントネットワークとは異なる別のネットワーク（前述のプライベートネットワークではないもの）を介して通信する。
- ウイルス対策通信でKerberos認証を有効にする場合は、プライベートLIF用のDNSエントリと、プライベートLIF用に作成されたDNSエントリに対応するDC上のサービスプリンシパル名を作成する。このサービスプリンシパル名は、ウイルス対策コネクタにLIFを追加するときに使用します。DNSは、ウイルス対策コネクタに接続されている各プライベートLIFの一意の名前を返せるものである必要があります。

Vscanトラフィック用のLIFがクライアントトラフィック用のLIFとは別のポートに設定されていると、ポート障害が発生した場合に、Vscan LIFがもう一方のノードにフェイルオーバーされる可能性があります。この変更によってVscanサーバーが新規ノードから到達不能になり、ノードでのファイル処理に関するスキャン通知が失敗します。Vscanサーバーがノード上の1つ以上のLIFを通じて到達可能であり、そのノードで実行されたファイル処理に関するスキャン要求を処理できるか確認してください。

弊社のストレージシステムとVscanサーバーの接続には、1GbE以上のネットワークを使用します。
複数のVscanサーバーがある環境では、接続パフォーマンスが高い同等のネットワークですべてのサーバーを接続します。Vscanサーバーを接続すると、負荷共有が可能になるのでパフォーマンスが向上します。
リモートサイトやブランチオフィスでは、リモートのVscanサーバーではなくローカルのVscanサーバーを使用することを推奨しています。これは、高レイテンシの環境にはローカルのVscanサーバーが最適であるためです。コストを重視する場合は、ノートPCやデスクトップコンピューターを使用して適度なウイルス対策を講じます。ボリュームやqtreeを共有してファイルシステム全体の定期スキャンのスケジュールを設定すると、それらをリモートサイトのシステムでスキャンできます。
ロードバランシングと冗長性確保のため、複数のVscanサーバーを使用してSVM上のデータをスキャンします。CIFSワークロードとそれに伴うウイルス対策トラフィックの量は、SVMごとに異なります。ストレージコントローラーでCIFSとウイルススキャンのレイテンシを監視してください。また、結果のトレンドも長期的に監視してください。CIFSのレイテンシとウイルススキャンのレイテンシが、Vscanサーバー上のCPUやアプリケーションのボトルネックによりトレンドのしきい値を超えて増加すると、CIFSクライアントの待機時間が長くなることがあります。Vscanサーバーを追加して負荷を分散します。
最新バージョンのONTAP Antivirus Connectorをインストールします。
ウイルス対策のエンジンと定義を常に最新の状態に保ちます。推奨される更新頻度については、パートナーにお問い合わせください。
マルチテナンシー環境では、スキャナプール（Vscanサーバーのプール）を複数のSVMで共有できます。ただし、VscanサーバーとSVMが同じドメインか、信頼できるドメインに属していることが条件になります。
感染したファイルに関するウイルス対策ソフトウェアポリシーは、大半のウイルス対策ベンダーが設定しているデフォルト値である「delete」または「quarantine」に設定します。「vscan-fileop-profile」が「write_only」に設定されていると、感染したファイルが検出された場合も、ファイルは共有に残り、開くことができます。これは、ファイルを開いただけではスキャンはトリガーされないためです。ウイルス対策スキャンは、ファイルを閉じるまでトリガーされません。
scan-engine timeoutの値は、scanner-pool request-timeoutよりも小さくする必要があります。前者を後者より大きい値に設定すると、ファイルへのアクセスが遅延し、最終的にはタイムアウトする可能性があります。これを回避するには、scan-engine timeoutの値をscanner-pool request-timeoutより5秒短く設定します。scan-engine timeoutの設定を変更する手順については、スキャンエンジンベンダーのドキュメントを参照してください。scanner-pool timeoutは、advancedモードで次のコマンドを使用し、request-timeoutパラメーターに適切な値を指定することで変更できます。「vserver vscan scanner-pool modify」。
オンアクセススキャンのワークロード向けにサイジングされていて、オンデマンドスキャンを使用する必要がある環境では、既存のウイルス対策インフラに余計な負荷がかからないように、オンデマンドスキャンのジョブをオフピークの時間帯にスケジュールすることを推奨しています。

パートナーごとのベストプラクティスについては、「Vscanパートナーソリューション」を参照してください。