SEP11客户端病毒定义更新失败问题解决办法.docVIP

SEP11客户端病毒定义更新失败问题的解决办法 做如下排查 1 检查一下服务器和客户端之间的管理方式是PUSH 模式还是PULL模式，因为如果PUSH模式是要从服务器向客户端去初始化连接的，考虑到有的时候客户端有除了SEP自带的防火墙之外的一些端点访问控制软件的存在，它会阻挡一些入站的数据流。所以，建议如果不确定的话去将模式改为PULL 模式，这样由客户端来发起初始化的心跳，就会避开端点处的防火墙软件的控制。 2 检查一下客户端现在和服务器的通信状态是否正常，客户端处小盾牌图标上是否有个绿点存在；双击小盾牌后，点击帮助与支持按钮后出现下拉菜单，点击错误诊断菜单，看新弹出来的窗口中的常规信息，比对下当前的策略序列号是否和在控制台中所观察到的客户端所应用的组策略是否一致。如不一致，则在客户端本地，右键小盾牌----更新策略，再观察是否两端是否一致。 3 检查从客户端是否能TELNET 到服务器的80端口 4 检查服务器端的SYLINK.XML文件和客户端的SYLINK.XML文件是否一致 处理方法： 在最新的SEP11版本上目前仍然保留了SAV时代产品的Liveupdate模块的功能，并进一步完善了internal liveupdate server 的使用功能，使得内容及产品的更新更易于管理。 很多用户会经常碰到SEP客户端，下载病毒定义失败的问题，本文将详解，SEP产品在通过Liveupdate模块来更新病毒定义及威胁检测特征库中所碰到的一些失败情况的分析及解决办法。 SEP客户端病毒定义通过LIVEUPDATE进行更新碰到一些失败经常是由于本地病毒定义文件损坏造成的，要重新PUSH进新的病毒定义就需要删除掉一些旧的损坏的病毒定义内容，这就必须知道病毒定义是如何从外界导入本地环境的具体路径。 病毒定义损坏界面： 对于客户端从INTERNET获取病毒定义，经过两步过程 1 liveupdate 模块下载病毒定义到本地的C:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\Downloads路径下。下载的初始过程都是由一些零散的小的TMP块文件组成，然后会有自动的机制将这些文件重新整合成一些压缩文件，然后这些临时文件会在LIVEUPDATE过程结束后，全部消失，如图中所示下载过程及文件消失过程： 下载完成临时文件消失： 2 当Download文件夹下所有的TMP块文件消失后，这些文件将在另外一个目录下C:\Program Files\Common Files\Symantec Shared\VirusDefs。进行解压以供客户端来使用。解压的过程中也会伴随产生一些TMP文件夹和LOCK文件，但这些文件将在顺利解压完成后会马上消失。 临时文件消失： 明白了这个路径，下面就需要确定如何删除哪些损坏的定义文件了，其具体步骤为： 1 在服务管理器中停止当前所有的SEP的服务进程 2 删除C:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\Downloads 目录下的所有内容。 3 删除C:\Program Files\Common Files\Symantec Shared\VirusDefs目录下的如下文件 usage.dat/definfo.dat / 及texthub,binhub,incoming 子文件夹下的所有内容（注意这里不是删除 文件夹而是删除文件夹下的内容，最后要保留个空文件夹） 其中definfo.dat中有病毒定义更新的日期记录，binhub中包含当前病毒定义文件副本，用来做恢复当前病 毒定义的作用，所以这些文件一定都要删除干净。另外在Virusdefs目录下可能还会存有一些带有日期的文 件夹这些就是每个历史时期保留下来的病毒定义文件，建议不要删除所有的带有日期的文件夹，保留一个 definfo.dat文件中 lastdefs=日期A 日期A对应的文件夹，其余的日期文件夹都删除掉。 definfo.dat 文件样本如下，删006，保003 文件夹 [DefDates] CurDefs006 LastDefs003 剩下的工作就是重新启动SEP的各项服务，并点击LIVEUPDATE进行升级，就OK 了。