Перейти к содержимому


Фото
- - - - -

Повреждение Drweb на Exchange 2007


  • Please log in to reply
8 ответов в этой теме

#1 Dmitry007

Dmitry007

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 19 Август 2010 - 10:43

Добрый день.

Имеется DrWeb на пограничном почтовом транспорте Exchange 2007 (виртуальная машина Windows 2008 на VMWare ESX). Все последние апдейты установлены. Лицензия DrWeb действительна до марта 2011 года. Все работало прекрасно несколько месяцев.

Далее имела место нештатная ситуация: После выхода из строя почти одновременно двух кондиционеров в серверной, далее по перегреву, блейд-система, на которой расположены виртуальные машины, включая почтовый пограничный транспорт с DrWeb, аварийно завершила работу почтового сервера.

После устранения неисправности системы охлаждения, поднятия блейд-системы и виртуальных серверов, после запуска почтового пограничного сервера, оказалось что DrWeb больше нормально не функционирует и не дает ни одному входящему письму дойти до наших адресатов. После отключения трех сервисов DrWeb (disabled) и перезагрузки сервера, письма стали нормально проходить.
В системном журнале Windows от DrWeb присутствуют следующие записи после запуска сервера:

System
- Provider
[ Name] Dr.Web Core Services for MSP
- EventID 0
[ Qualifiers] 0
Level 4
Task 0
Keywords 0x80000000000000
- TimeCreated
[ SystemTime] 2010-08-10T07:25:29.000Z
EventRecordID 252750
Channel Application
Computer name.domain.ru
Security
- EventData
Service started

System
- Provider
[ Name] Dr.Web Engine
- EventID 146
[ Qualifiers] 0
Level 4
Task 0
Keywords 0x80000000000000
- TimeCreated
[ SystemTime] 2010-08-10T07:25:29.000Z
EventRecordID 252751
Channel Application
Computer name.domain.ru
Security
EventData
Shiled Lite has NOT been loaded


- System
- Provider
[ Name] Dr.Web Core Services for MSP
- EventID 1005
[ Qualifiers] 0
Level 4
Task 0
Keywords 0x80000000000000
- TimeCreated
[ SystemTime] 2010-08-10T07:25:34.000Z
EventRecordID 252754
Channel Application
Computer name.domain.ru
Security
- EventData
Product Build: 5.00.00.200910230 ScanEngine: ScanClient: VadeRetro: Updater: 5.00.10.03030 Virus Records: Last Update: Key number: <номер ключа> User: РћРћРћ "Машинтер" Computers: 1 Expires: Thu Mar 24 16:27:25 2011 Spam filter: Yes E-mails: 60


- System
- Provider
[ Name] Dr.Web Core Services for MSP
- EventID 1007
[ Qualifiers] 0
Level 2
Task 7
Keywords 0x80000000000000
- TimeCreated
[ SystemTime] 2010-08-10T07:25:49.000Z
EventRecordID 252784
Channel Application
Computer name.domain.ru
Security
- EventData
Your license is invalid and Dr.Web for Exchange will not work until you renew it


- System
- Provider
[ Name] MSExchange Extensibility
- EventID 1050
[ Qualifiers] 32772
Level 3
Task 1
Keywords 0x80000000000000
- TimeCreated
[ SystemTime] 2010-08-10T07:30:53.000Z
EventRecordID 252794
Channel Application
Computer name.domain.ru
Security
- EventData
The execution time of agent 'DRWAntiVirusAgent' exceeded 300000 (milliseconds) while handling event 'OnSubmittedMessage'. This is an unusual amount of time for an agent to process a single event. However, Transport will continue processing this message.
DRWAntiVirusAgent
300000
OnSubmittedMessage

Последнего сообщения в системном журнале очень много, видимо на каждое входящее почтовое сообщение.
Посоветуйте пожалуйста, как исправить ситуацию и заставить DrWeb нормально работать в прежнем режиме.

С уважением,
Дмитрий

#2 pig

pig

    Бредогенератор

  • Helpers
  • 10 852 Сообщений:

Отправлено 19 Август 2010 - 11:10

IMHO, собака порылась здесь:

- System
- Provider
[ Name] Dr.Web Core Services for MSP
- EventID 1007
[ Qualifiers] 0
Level 2
Task 7
Keywords 0x80000000000000
- TimeCreated
[ SystemTime] 2010-08-10T07:25:49.000Z
EventRecordID 252784
Channel Application
Computer name.domain.ru
Security
- EventData
Your license is invalid and Dr.Web for Exchange will not work until you renew it

Надо как-то ключ заново подсунуть, как мне кажется.
Почтовый сервер Eserv тоже работает с Dr.Web

#3 Denis Stepanov

Denis Stepanov

    Newbie

  • Dr.Web Staff
  • 2 Сообщений:

Отправлено 19 Август 2010 - 11:37

Это скорее одно из следствий.
Были ли включены логи плагина в период некорректной работы? Логи плагина включаются путем установки ключа реестра DumpToLog равным 5.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Doctor Web\Core Services for MSP\Logging]
"DumpToLog"=dword:00000005

#4 Dmitry007

Dmitry007

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 19 Август 2010 - 13:51

Нет, данный параметр равен 0.
Могу ли я теперь включить данный параметр, затем включить три службы DrWeb обратно в режим автозапуска при старте системы, чтобы получить эти логи после рестарта сервера?
Куда данные логи складываются и каков у них объем? Позволит ли он выложить их в форум?

#5 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 19 Август 2010 - 14:02

Сюда - http://support.drweb.com/ - можно засылать логи большого объема.
С уважением,
Борис А. Чертенко aka Borka.

#6 Denis Stepanov

Denis Stepanov

    Newbie

  • Dr.Web Staff
  • 2 Сообщений:

Отправлено 19 Август 2010 - 14:49

Да, можете. Логи пишутся в папку "%ProgramData%\Doctor Web\Logs". По достижении размера в 512Kb они сжимаются, а полученный архив именуется соответствующим временем и датой и перемещается в подкаталог "Compressed".
Для получения наиболее точного представления о состоянии системы нам помимо текущих логов так же потребуется и вся папка "Compressed".
Существующие ограничения на размер добавляемых файлов на форуме гипотетически позволят залить все логи плагина. Если нет, можно залить их сюда
ftp://people.drweb.com/people/a.tarasov/incoming/
или обратиться сюда
http://support.drweb.com/

PS: Так же было бы не лишним, если это возможно, взглянуть на системный лог приложений за тот же промежуток времени, что и логи плагина..

#7 Dmitry007

Dmitry007

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 11 Январь 2011 - 15:45

Здравствуйте.

Все разрешилось переустановкой новой версии DrWeb for Exchange 6.00 вместо старой (5).
Все заработало, в логах все ошибки исчезли, и все записи в логах говорят о нормальной работе всех компонентов.
Однако появился такой баг (или фича?):

Сообщения спама, которые ранее успешно отсекались предыдущей версией, не отфильтровываются установленной новой версией.
В разделе Statistics счетчик Spam Messages всегда остается равным 0.
В разделе Incidents соответственно тоже не появляется сообщений об отфильтрованном спаме.
Так продолжается уже несколько недель.
Ранее оба данных поля постепенно заполнялись (менялись).

В логах Транспортного Агента Exchange появляются сообщения вида:
Content Filter Agent,OnEndOfData,RejectMessage,550 5.7.1 Message rejected as spam by Content Filtering.,SclAtOrAboveRejectThreshold,8,DV:3.3.9529.619;SID:SenderIDStatus None
которые, как я понимаю, относятся к фильтрации только по SCL и не имеют отношения к тому, что должно фильтроваться DrWeb-ом?

Также по ощущениям, спама "пролазит" больше чем ранее.

Как можно диагностировать данную проблему?
Снова делать логи плагина?
Ошибок в журналах Windows никаких нету.

Спасибо.

#8 d.smirnov

d.smirnov

    Newbie

  • Dr.Web Staff
  • 13 Сообщений:

Отправлено 11 Январь 2011 - 17:51

В логах Транспортного Агента Exchange появляются сообщения вида:
Content Filter Agent,OnEndOfData,RejectMessage,550 5.7.1 Message rejected as spam by Content Filtering.,SclAtOrAboveRejectThreshold,8,DV:3.3.9529.619;SID:SenderIDStatus None
которые, как я понимаю, относятся к фильтрации только по SCL и не имеют отношения к тому, что должно фильтроваться DrWeb-ом?


Да, эти сообщения фильтрует сам Exchange и до агентов плагина они не доходят

Также по ощущениям, спама "пролазит" больше чем ранее.



Как можно диагностировать данную проблему?
Снова делать логи плагина?

Да, нужны логи. По ним будет видно производится ли проверка на спам.

#9 Dmitry007

Dmitry007

    Newbie

  • Posters
  • 15 Сообщений:

Отправлено 14 Январь 2011 - 20:15

После общения с саппортом и высылки им логов и др. необходимой информации, оказалось что проверка на вирусы и спам вообще не осуществлялась, хотя никаких ошибок в журналах не было и все 3 службы DrWeb работали.
По совету поддержки переустановил DrWeb с ключами:
msiexec /i drweb-600-exchange-20072010-ru.msi /lvx* log_file_name
после чего все заработало в штатном режиме. Спам начал фильтроваться.
Спасибо.


Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых