Symantec SAV 10常见问题和解决方法20101118

SAV 10常见问题的解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 目录 2一、 SAV 10常见问题和解决方法 21.1 获得技术支持的途径 21.2 如何从诺顿网站上下载病毒定义码 31.3 SAV客户端无法和父服务器联系 31.4 工作站登录后有登录脚本执行，但没有完成安装 41.5 SSC控制中心无法看到客户端 41.6 SAV客户端的病毒定义没有更新 81.7 使用IE打开报告系统失败，报错信息为用户名锁定 81.8 忘记了SSC上防病毒组解锁密码 81.9 安装或升级安装防病毒客户端时失败，并回滚操作 81.10 服务器系统崩溃时如何恢复防病毒服务器 111.11 如何在SSC上清除病毒状态显示 121.12 SAV防病毒客户端如何改变父服务器 121.13 SSC控制台不能解锁防病毒服务器组 141.14 SAV父服务器改IP的正确办法及问题处理 191.15父服务器改名后如何修复客户端与服务器的通信 221.16报告服务器帐号被锁定后如何解锁及遗忘密码如何处理 241.17 病毒定义或扫描引擎不正常 251.18 针对管理大量客户端的服务器的配置建议 261.19 Symantec tools 下载 1、 SAV 10常见问题和解决方法 1.1 获得技术支持的途径 · 技术支持热线： i. SYMANTEC：800免费支持热线 8008103992 ii. SYMANTEC：010-62648866, 88096002 iii. 广州中软公司：4008823999 iv. 赛门铁克Internet在线知识库问题解答：http://www.symantec.com/techsupp/enterprise/select_product_kb.html 然后选择Symantec AntiVirus Corporate Edition 1.2 如何从诺顿网站上下载病毒定义码 http://www.symantec.com/avcenter/download/pages/US-SAVCE.html 即：Symantec.com > Business > Security Response > Download Virus Definitions > Symantec Endpoint Protection / Symantec Antivirus Corporate Edition 注意：防病毒服务器只能用vd??????.xdb这样的下载文件来升级(直接拷贝到SAV的文件夹里即可)；（防病毒服务器不能使用20070609-007-x86.exe这样的可执行文件来升级，会导致客户端无法升级。）客户端可以用20070609-007-x86.exe这样的可执行文件（叫做“智能更新文件”）来升级。 企业版病毒定义下载： ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/symantec_antivirus_corp/ SAV服务器病毒定义下载： ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/symantec_antivirus_corp/xdb/ SAV客户端病毒定义下载： ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/symantec_antivirus_corp/ SAV应急病毒定义： ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/norton_antivirus/rapidrelease/sequence/?????/ SEP病毒定义下载： ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/symantec_antivirus_corp/jdb/ 1.3 SAV客户端无法和父服务器联系 · 名字解析问题： · 先Ping服务器，确保IP通讯O.K. · 检查WINS · 检查名字解析文件，如Host、Lmhosts等 · 在Host文件中增加一条服务器的名字与IP地址映射的记录 · 把工作站的DNS指向正确的DNS服务器 · 物理连接 · 手工拷贝根证书到客户端 1.4 工作站登录后有登录脚本执行，但没有完成安装 · 在SSC中，没有设置允许登录自动安装： · 设置允许自动安装。（SAV10.x中需要手工修改注册表来打开此功能。请看管理员手册关于登录脚本安装方式的说明) · 在安装之前已经感染CIH等文件型病毒 · 用一台干净的机器生成救援软盘，用此软盘启动和清除CIH等病毒。 1.5 SSC控制中心无法看到客户端 · 工作站安装成为不接受管理模式 · 从服务器拷贝GRC.DAT文件到以下位置： _ Windows 2000/2003/XP,C:\Documents and Settings\All Users\ Application Data\Symantec\symantec AntiVirus Corporate Edition\7.5 · 还需要将根证书文件从服务器上“\PROGRAME FILES\SAV\PKI\root\”拷贝到客户端“\PROGRAME FILES\Symantec antivirus\PKI\root\ · 重新启动客户端(grc.dat文件将消失). · 工作站已经关机 · 在服务器更改IP地址和机器名时，工作站关机 · 从服务器拷贝GRC.DAT文件 · IP通讯问题 · 工作站的父服务器已经关机 · 打开工作站的服务器，或将工作站迁移到另一台服务器下 · 用IE安装客户端时出错 · 工作站对服务器无法解析服务器的DNS名字，可有多种方法解决： · 在Host文件中增加一条服务器的名字与IP地址映射的记录 · 把工作站的DNS指向正确的DNS服务器 1.6 SAV客户端的病毒定义没有更新 · 客户端被安装成为不接受管理： · 从服务器拷贝GRC.DAT文件、证书文件(参考问题5)，把客户端改为接受管理 · IP通讯或物理连接问题 · 还没有到达更新的时间间隔： · 到达SSC设置的时间间隔后自动更新 · 工作站的父服务器没有更新 · 在SSC中检查工作站的父服务器的更新设置，改正不正确的设置 关于Symantec客户端不能更新病毒定义问题的具体解决办法： 在安装Symantec Antivirus 10.x版本以后，发现有部分机器存在病毒库升级不及时或不能升级的问题，首先在确定网络接通的情况下，我们需要进一步确认问题在哪里。 1． 首先打开SSC控制台检查防病毒父服务器的病毒定义是否正常，是否已升级到最新。（这一步必须做）。如果正常则继续做第2步，否则先检查防病毒父服务器的病毒定义更新配置是否被改变了，或者Symantec AntiVirus服务是否在正常运行。 2． 在windows控制面板->计算机管理器中检查客户端sav服务是否在运行； 检查“服务”中Symantec开头的几个服务是否正常启动（状态显示“已启动”），如果没启动就手工启动，并检查事件查看器中的“系统日志”、“应用程序日志”，找到相关的错误信息，根据提示信息来处理。 检查SAV客户端界面中“查看”—〉“自动防护状态”，右边的文件检查数量是否有显示，有显示则正常； 如果有问题，且重启动操作系统后还是这样，请卸载SAV客户端软件，重新启动操作系统后再重新安装SAV客户端软件。 3． 如果上述检查没问题，请ping 服务器名称，如果ping服务器名不通，ping IP可以通，请修改客户端hosts文件，添加服务器名和ip地址。接下来telnet服务器2967端口，假定服务器IP是10.10.10.10，则 telnet 10.10.10.10 2967 如果不通则检查客户端防火墙或其它网络中继设备的端口限制策略，允许双向访问TCP 2967、udp2967端口。 4． 如果是windows xp sp2以上操作系统，请在微软的防火墙上加两个端口例外策略，tcp2967（Symantec Antivirus10以上版本）udp2967（Symantec Antivirus 10.0以下版本），再加一个应用程序例外策略：c:\program files\symantec antivirus\Ravscan.exe。 5． 在客户端命令行下，输入cd “c:\program files\symantec antivirus” 回车，输入savroam /check_parent回车，检查客户端跟服务器之间联系是否正常。 6． 如果返回正常（显示连接状态是“fine”），而客户端又不能更新，那只能一种可能性，就是客户端的病毒库损坏，需要下载一个客户端的病毒库更新程序，在客户端手动更新一下就可以了。下载地址：http://securityresponse.symantec.com/avcenter/download/pages/US-SAVCE.html下载*_x86.exe文件，双击运行就可以了。 如果返回信息不正常，首先ping一下防病毒服务器的名字，看能否正常解析主机名；telnet 2967端口，如果不行，请查看DNS设置是否正常，或者修改客户端的hosts文件；检查端口访问策略。 7． 如果ping通了，请检查c:\program files\symantec antivirus\pki\roots目录下面是否有服务器证书文件，如果没有请把防病毒服务器上c:\program files\SAV\pki\roots目录下面的全部文件拷贝到客户端的c:\program files\symantec antivirus\pki\roots目录下面； 再从c:\program files\SAV\ 或者 \\[父服务器IP]\vphome\clt-inst\win32\ 拷贝GRC.DAT文件到客户端以下位置： C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5 重启客户端“symantec antivirus”这个服务或重起动电脑(grc.dat文件将消失)。 （注意选对客户端所使用的父服务器的grc.dat文件） 通过上面的设置检查，应该可以保证客户端正常更新病毒库。 下面提供一个脚本解决这些复制根证书和grc.dat的问题，有必要的话还可以同时修改客户端hosts文件。请将下面蓝色字体部分复制到一个文本文件中，改名为savfix.cmd 。客户端更新有问题时也可以在客户端执行一下。可以通过域登录脚本来大批量分发。注意，使用时请根据实际情况添加文件路径，以保证copy命令执行时能找到相应的文件。这个脚本里映射了一个临时盘符，以方便操作，操作系统重启动后将不会再重复连接。 假定文件服务器IP为10.10.10.10，将sav服务器根证书和grc.dat从防病毒服务器上复制到10.10.10.10的共享文件夹share中。根证书名字假定是"35a527e70ea06044b32c5e91e386e087.0.servergroupca.cer"。脚本内容如下： net use S: \\10.10.10.10\share\ /PERSISTENT: NO S： md "%ProgramFiles%\Symantec AntiVirus\pki\roots" copy /y "35a527e70ea06044b32c5e91e386e087.0.servergroupca.cer" "%ProgramFiles%\Symantec AntiVirus\pki\roots" copy /y "grc.dat" "%allusersprofile%\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5" REM echo 10.151.16.165 jmhsav01>>%windir%\system32\drivers\etc\hosts net stop "symantec antivirus" net start "symantec antivirus" 说明： 35a527e70ea06044b32c5e91e386e087.0.servergroupca.cer请用实际环境中使用的证书文件名替代。 如果客户端不能使用DNS、WINS来解析服务器名称，则需要修改hosts文件，将客户端的sav父服务器记录添加进去。 请删除前面的“REM” ，10.151.16.165 jmhsav01请用实际环境中使用的服务器IP和主机名替代（注意中间有一个空格）。 8． 还有一种比较特殊的情况，SAV10.1.5及以下版本产品设计上有bug，在更新病毒定义时可能会随机发生错误，现象是在"C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5"下发现有几个扩展名为.wdb或.idx的文件，这些临时文件累积到某个时候会导致病毒定义或扫描引擎不正常。需要修复病毒定义并打补丁（请参阅“1.17病毒定义或扫描引擎不正常” 部分）。 如果上述步骤仍不能解决问题，请联系Symantec技术支持（800-810-3992，需要用户提供产品许可证序列号）寻求进一步支持。 1.7 使用IE打开报告系统失败，报错信息为用户名锁定 解决方法： 在ＤＯＳ窗口下依行输入以下命令： osql -E 1> use Reporting; 2> update adminuser set Locked='' where user_name='admin'; 3> go 如果还不行，请参阅问题1.16的方法处理。 1.8 忘记了SSC上防病毒组解锁密码 打开赛门铁克防病毒软件或SSC访问服务器端会提示密码错误 解决方法： 1. 可以用SSC安装目录（\Program Files\Symantec\Symantec System Center\Tools）下的工具IFORGOT.exe重设密码。 1.9 安装或升级安装防病毒客户端时失败，并回滚操作 解决方法： 使用ＮＯＮＡＶ卸载工具进行手工卸载，重启后再执行安装。卸载工具请联系赛门铁克8008103992技术支持获取，或者联系广州中软公司客服热线4008823999获取 1.10 服务器系统崩溃时如何恢复防病毒服务器 恢复的前提要求：必须有事先已经备份好的PKI目录。因SAV10.1服务器与客户端通过数字证书加密通讯，在服务器做升级操作之前需备份数字证书。即Program Files\SAV\PKI目录下的所有文件。 恢复方法： 为确保SAVCE10.1版的一级服务器在重装后成功恢复数字证书，请参照以下操作步骤： 1) 安装前的准备： a 保持主服务器的IP和主机名不变； b 在安装完成前，不要接入工作网。但需要和单一主机或交换机连接。因为赛门铁克系统中心（SSC）需要把网卡激活才能访问服务器。 如果不能和单一主机或交换机连接，我们需要关掉网卡的“媒介探测(Media Sense)”，在注册表中找到此处： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters 新建一个DWORD值（双字节值），名字叫DisableDHCPMediaSense，值设为1。 最后，重新启动机器。 这样，即使网线断开，WIN2000仍然会显示一个断开的图标，但网卡的 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 仍然处于绑定状态，也就是说网卡处于激活状态，PING网卡的IP仍然能通。 2) 安装好服务器端，并通过SSC将服务器升级为一级服务器。安装好SSC和服务器后，一定要重新启动服务器。先升级到最新的病毒定义，并确认升级成功（检查I2_LDVP.VDB文件夹的两个子文件夹）。 3) 在系统服务中停止Symanetc AntiVirus和 Intel PDS服务（注：停Intel PDS服务时会提示停止几个相关的服务，在KB 2005040513373748中并没有提到停止Intel PDS服务）。 4) 将安装目录下的PKI目录删除或改名，把备份的PKI目录复制到安装目录下。 5) 用regedt32打开注册表。提取备份的PKI目录中roots下的证书文件第一个点前的32个字符替换一下几个注册表键值： HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\下的DomainGUID; HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\DomainData\下的DomainGUID; HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\AddressCache\<服务器名>下的\DomainGUID; (许多情况下无此键值) 例： a) 提取备份证书文件前32个字符； b) 用regedt32打开并找到要修改的键值. c) 双击打开； d) 替换； 注:此键值在Regedit的模式下不能复制粘贴，但在regedt32模式下可以。在Windows2003中无论用Regedit还是用regedt32下都不能从注册表编辑器外复制后在此进行粘贴（但可以在注册表编辑器内进行复制和粘贴），必须先删除对话框里的数值，再用键盘输入新的数值。 HKEY_LOCAL_MACHINE\SFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\ScsComms\LocalData\TrustedRoots备份，然后删除。 6) 在系统服务中启动Symanetc AntiVirus和 Intel PDS服务（包括先前一起被终止的几个服务）。 7) 这时候打开赛门铁克防病毒软件或SSC访问服务器端会提示密码错误。可以用SSC安装目录（\Program Files\Symantec\Symantec System Center\Tools）下的工具IFORGOT.exe重设密码。 8) 确认都正常以后，即可以接入工作网。最好能够先找一台客户端和服务器连接，测试对客户端的管理没有问题后，才将服务器启用。 1.11 如何在SSC上清除病毒状态显示 选中服务器点击右健选中“所有任务”-〉”Symantec antivirus”->“文件系统实时防护状态”是对状态进行查询的简单方法。“查看病毒列表”可以查看已知病毒的基本信息。“清除病毒状态”当服务器或客户端出现病毒时，从SSC中可以看到相应服务器或客户端图标上有一个红叉，如果想清除这种红叉状态，可以在服务器组中选中相应的服务器或客户端，按右键，选择“清除病毒状态”，这样图标上的红叉会自动消失。以上功能在此不做详细叙述。 1.12 SAV防病毒客户端如何改变父服务器 如果新的和旧的SAV服务器的计算机名称都不一样，想要迁移可以通过以下几个方法： 1、如果要迁移的客户端只有少数几台机器，建议从要迁移的电脑上重新安装新父服务器下的sav客户端。这种方法是最直接最安全的方法。 2、自动方式：如果旧的SAV服务器还存在，在新的SAV服务器的SSC控制台上搜索出旧的SAV服务器，并将原有SAV客户端直接从旧的SAV服务器下拖拽到新的SAV服务器组内即可，但前提是SAV客户端的TCP/UDP 2967端口可以访问到，请保证桌面防火墙关闭或已经为SAV通讯配置了端口例外和应用程序例外（详细说明请参阅附录6.2关于Windows桌面防火墙问题的处理办法）； 3、手工方式：从新的SAV服务器的共享文件夹vphome下复制GRC.DAT文件，（默认情况下，共享文件夹vphome指向父服务器上的 C:\Program Files\SAV。）拷贝到原有SAV客户端的：C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5目录后，等待不超过15分钟，或者重启SAV客户端的Symantec AntiVirus服务或直接重启计算机即可； 必要时将新父服务器的pki根证书也拷贝到客户端去。 将不受管理的sav客户端更改为接受sav服务器管理的客户端，也可以采用这种“收工方式”处理。 备注：如果使用的SAV10.X版本，在手工方式中，一般情况下，在SAV客户端有新的GRC.DAT（SAV服务器标识）文件后会自动去下载新的SAV服务器的PKI证书，当然保险起见，建议将新的SAV服务器的GRC.DAT和PKI文件都拷贝到原有SAV客户端的计算机上； 1.13 SSC控制台不能解锁防病毒服务器组 检查和处理步骤： 1． 先检查一下本地网络配置是否有问题，比如：IP地址、网卡接口状态等，如果有问题，请先解决这些网络问题。确保从服务器上能ping通网关，从客户端电脑上能ping通此服务器IP和名称。如果SSC控制台与服务器不在同一台机器上，请检查防火墙是否开放了端口：TCP/UDP 2967，UDP38293。 2． 如果以上都没问题，请右键点屏幕右下角金色盾牌图标，选择打开Symantec AntiVirus界面，输入原来的防病毒组的账号密码，看看能否进入。如果不能进入，请试试账号admin，密码symantec 。 然后检查SAV防病毒软件界面中的组名是否正确； 再点右边栏“查看”—〉“自动防护状态”，看看右边的文件检查数量是否有显示，有显示则正常； 通过任务管理器检查Symantec AntiVirus进程ccApp.exe、Rtvscan.exe是否在运行； 打开操作系统控制面板—〉管理工具—〉服务，检查一下Symantec AntiVirus的服务是否在“已启动”状态。 如果上述检查其中之一有问题，请重新启动操作系统后再检查一次。 3． 如果第二步检查有问题，则检查操作系统事件日志：打开操作系统“控制面板”—〉管理工具—〉事件察看器，看看“系统”和“应用程序”中的事件日志，看看有没有与Symantec AntiVirus相关的错误信息，如有则根据信息决定下一步处理步骤，或联系服务提供商处理。有可能需要重新安装防病毒软件。 4． 用regedit检查注册表项： [HKEY_LOCAL_MACHINE\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion\ScsComms\LocalData] "LoginCaCertIssueSerialNum"=dword:00000004 如果"LoginCaCertIssueSerialNum"的值大于256（十进制）则可能会出现这种问题，请将其值改为“1”。 5． 如果第一、第二步没有发现问题，请试着按下述方法清除并重设防病毒服务器组密码： 执行SSC安装目录（\Program Files\Symantec\Symantec System Center\Tools）下的工具IFORGOT.exe，重设密码。 再试一下是否可以正常解锁防病毒服务器组。 6． 在SSC控制台菜单“工具”的“搜索服务”中点“立即清除缓存信息”，把缓存给清除。再试。 如果还不行，就必须联系服务提供商处理了，请备份好PKI文件夹，实在不行就重新安装防病毒服务器端软件。 1.14 SAV父服务器改IP的正确办法及问题处理 一般情况下，单纯修改Symantec 防病毒企业版父服务器IP地址后，如果能保证客户端电脑能ping通父服务器主机名（即客户端对服务器的名字解析没问题），就不会影响正常使用。 但是对于在路由环境(即父服务器与客户端不在同一网段)的网络中，如果没有使用DNS、WINS等网络名字解析服务，也没有WINDOWS“域”管理，则必须使用HOSTS或Lmhosts主机配置文件来解析父服务器IP地址。那麽在修改父服务器IP地址后，也必须修改这些客户端HOSTS或Lmhosts主机配置文件，以便解析到父服务器新的IP地址。 防病毒服务器的IP地址更改的同时可能需要对网络客户端的域名解析方式做更改，因此管理员需要做以下相关配置更改： 1. 首先在DNS服务器上将防病毒服务器的A记录添加上去，以便已经加入域配置使用DNS的客户端使用该DNS来正确解析防病毒服务器的主机名； 2. 对以前使用hosts文件来解析，目前准备改用DNS的客户端，现在要去掉hosts文件中旧的防病毒服务器记录项，否则客户端还是会优先使用hosts文件中旧的IP； 3. 对于暂时不配置DNS的客户端，要保证hosts文件中的有防病毒服务器正确的IP和主机名记录项。 4. 另外，请管理员修改C:\Program Files\SAV\CLT-INST\Win32\setup.bat,把其中的IP地址改为正确的地址。 5. 请管理员修改C:\Program Files\SAV\CLT-INST\WEBINST\webinst\start.htm,把其中的服务器IP地址改为正确的地址。 改变Symantec 防病毒企业版父服务器IP地址后可能产生的问题与分析、解决方法如下: 问题症状： 服务器与客户服端无法通信，Symantec 系统中心不能显示客户端, 而且客户不再从服务器进行病毒定义更新。 产生原因： 当 Symantec 防毒父服务器的 IP地址改变的时候，客户可能继续使用旧的父服务器IP地址签到。 解决步骤： A. 重启父服务器的Symantec AntiVirus服务。 B. 确保客户端有正确的 父服务器IP 地址。 C. 确保客户端能ping通父服务器主机名。 D. 确保 Grc.dat 文件包含父服务器当前正确的 IP 地址。 E. 为受到影响的客户拷贝一个新的 Grc.dat 文件。 解决步骤的详细说明如下： A. 重启父服务器的Symantec AntiVirus服务 1. 在任务栏上, 点击开始 > run。 2. 在开着的对话框中，键入 services.msc 3. 按 “确定” 。 4. 在服务列表中，选择 Symantec AntiVirus Server 服务，并点击“停止”。 5. 当服务停止的时候, 点击“开始”。 B. 验证客户有父服务器正确的 IP 地址 1. 在客户计算机上, 点击开始 > run 2. 在弹出对话框中，键入 regedit 3. 按 确定 。 4. 在注册表中，定位到下面的键:（%$Parent server name用你的父服务器的名字代替） HKEY_LOCAL_MACHINE/software/intel/Landesk/VirusProtect6/CurrentVersion/AddressCache/%$Parent server name> 这个表项有客户连所接的Symantec 防病毒父服务器的值, 而且在 Grc.dat 文件中也有记录。 通常，只有一个服务器被列出。 5. 选择 %$ Parent server name > 键, 而且在查看位于 Address_0的键值 。 举例：数据应该对下列各项看起来相似 00 04 20 00 0b 97 00 00 9b 40 7b fd 000000000000000000 6. 计数开始在对第九组上，将十六进制的数字翻译成十进制数.(可以用系统自带的计算器) 。这就是客户拥有的父服务器IP地址。 如果IP地址是不正确的,请参考下面讲到的拷贝新的 Grc.dat文件的办法。 在上面的例子中，你的结果会是 一个 155.64.123.253 （9b=155 40=64 7b=123 fd=253）的IP地址. ________________________________________ 注意: Symantec的一些文档指出注册表键值只使用一次。 这不是正确。 注册表键值会不变地被更新。 然而, Grc.dat 的 Address_0 行的值只在Symantec 防病毒服务重新启动时更新。 这意味你需要停止而且重新开始 Symantec Antivirus服务让 Address_0 更新。 对于更多的信息，参考 下面的" 验证 Grc.dat 文件包含父母服务器的正确的 IP 地址 "。 计算机名字是Symantec正常运行的重要部份。 Symantec AntiVirus服务监听计算机名字变化而且当一个名字被改变的时候将会更新。 C. 验证：父服务器与客户端名字能不能互ping 1. 在客户 ping 父服务器 2. 在父服务器 ping 客户 在没有DNS的情况下，和他们DNS做好后，估计hosts文件都要改才行 图表 1 因为系统优先从本地hosts找，找到相关记录就直接使用该记录，而不查DNS，找不到相关记录才从DNS服务器查询。 D. 验证父服务器上的Grc.dat 文件包含父服务器的正确的 IP 地址 1. 使用一个文本编辑工具, (像记事本)在父服务器上打开 Grc.dat 文件。 找到Symantec 防毒被安装在目录中哪里; 预先设定地位置是 \Program Files\SAV or \Program Files\Symantec AntiVirus. 目录下Grc.dat 2. 位于由 Address_0 开始的线。整个的线对下列各项看起来相似: Address_0=B002 0000 0200 00B9 7000 0 AC10 01FD 0000000000000000000000000000000000000000 1. 计算在对第22个数字之上, 而且将十六进位数字翻译成十进位数. 为下面三双 hex 值重复这一个程序。这就是父服务器IP地址。 如果 IP 地址是不正确的,重新开始 Symantec 防病毒服务器服务产生一个被更新的 Grc.dat 文件。 说明： Grc.dat 文件是一个包含Symantec 防毒服务器对客户端配置信息的文本文件。 当你在 Symantec 系统中心上来改变客户配置选项的时候，父服务器器会把变化写进注册表,在下面的路径下: HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion\ClientConfig 当你在Symantec系统中心上对客户端配置进行更改后,Symantec防毒服务器服务重启时，服务器会用 ClientConfig 的内容重建Grc.dat 文件。因为对Grc.dat文件的任何改变将在下回服务器重启后丢失，这意味着使用一个本文编辑父服务器的 Grc.dat 文件不是有用的。 你查证防病毒服务器的Grc.dat 包含正确的IP地址, 则进行第五步。 E. 为受到影响的客户端拷贝一个新的 Grc.dat 文件 1. 拷贝来自父服务器的一个新的 Grc.dat 文件。 本地路径: \%$安装盘>\Program Files\SAV\Grc.dat 网络路径: \\%$servername>\VPHOME\Grc.dat(不知道丢失的客户端还有访问的权限没有?????) Symantec AntiVirus Corporate Edition 10.x客户端： 把替换到下面目录下： %windir%\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5 2. 在 Symantec 系统中心上运行搜索服务: A 点击工具 > 搜索服务。 B 点击运行搜索。 1.15父服务器改名后如何修复客户端与服务器的通信 其解决办法与产品版本有关，请选择相关版本的解决办法。 一 、Symantec 防病毒 10. x 和 Symantec 客户安全 3. x 如果被重新命名的父服务器运行 Symantec 防病毒 10. x 或 Symantec 客户安全 3. x ，遵从下列步骤: 1. 在你重新命名 Symantec 防病毒服务器之后，重新启动计算机。 2. 打开 Symantec 系统中心，先不要对服务器组解锁。 3. 在工具菜单上, 点击发现 > 现在清除缓存。 4. 解锁服务器组。 注意：如果你重新命名的是一级服务器，还要进行这些步骤: 1. 在注册表中，找到下面的键: HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LanDesk\VirusProtect6\ CurrentVersion 2. 在正确的选项中，双击 UNCPath 值, 然后以一级服务器的新名字替换一级服务器的旧名字。 3. 按 确定 。 4. 找到下面的键: HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LanDesk\VirusProtect6\CurrentVersion\ DomainData 5. 在正确的选项中，双击 UNCPath值, 然后以一级服务器的新名字替换一级服务器的旧名字。 6. 找到下面的键: HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LanDesk\VirusProtect6\CurrentVersion\DomainData\ ClientConfig 7. 在正确的选项中, 双击 AlertDirectory 值, 然后以一级服务器的新名字替换一级服务器的旧名字。 8. 在正确的选项中, 双击-按父母价值, 然后以一级服务器的新名字替换一级服务器的旧名字。 9. 在正确的选项中, 双击 RemoteHomeDirectory 值, 然后以一级服务器的新名字替换一级服务器的旧名字。 10. 退出注册表。 11. 重新启动 服务器的Symantec 防病毒服务。 二、 Symantec 防病毒 9. x/8. x 如果被重新命名的父服务器运行 Symantec 防病毒 9. x/8. x ，请遵从下列步骤: 1. 停止 Symantec 防病毒服务器服务。 2. 在注册表中，找到下面的键: HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LanDesk\VirusProtect6\CurrentVersion\ ClientConfig 3. 在正确的选项中, 双点击 AlertDirectory 值, 然后以一级服务器的新名字替换一级服务器的旧名字。 4. 在正确的选项中,双击Parent值, 然后以一级服务器的新名字替换一级服务器的旧名字。 5. 在正确的选项中, 双点击 RemoteHomeDirectory 值, 然后以一级服务器的新名字替换一级服务器的旧名字。 6. 如果你使用客户端分组，在每位客户组在对应的注册键中重复第3到5的步骤: HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LanDesk\VirusProtect6\CurrentVersion\Groups\%$ ClientGroupName>\ClientConfig 7. 退出注册编者。 8. 重新开启 Symantec 防病毒服务器服务。 9. 开始 Symantec 系统中心。 10. 右击原父服务器名, 然后按所有任务 > Symantec 防病毒 > 客户自动防护选项或客户即时的保护选项。 11. 点击全部重新设定。这一个操作是推送新的服务器命名信息到被管理的客户。 如果你是重新命名一级服务器，还要进行这些步骤: 1. 在注册表中，找到下面的键: HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LanDesk\VirusProtect6\ CurrentVersion 2. 在正确的选项中，双击 UNCPath 值, 然后以一级服务器的新名字替换一级服务器的旧名字。 3. 按 确定 。 4. 找到下面的键: HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LanDesk\VirusProtect6\CurrentVersion\ DomainData 5. 在正确的选项中，双击 UNCPath值, 然后以一级服务器的新名字替换一级服务器的旧名字。 6. 找到下面的键: HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LanDesk\VirusProtect6\CurrentVersion\DomainData\ ClientConfig 7. 在正确的选项中, 双击 AlertDirectory值, 然后以一级服务器的新名字替换一级服务器的旧名字。 8. 在正确的选项中, 双击Parent值, 然后以一级服务器的新名字替换一级服务器的旧名字。 9. 在正确的选项中, 双点击 RemoteHomeDirectory 值, 然后以一级服务器的新名字替换一级服务器的旧名字。 10. 退出注册表。 11. 重新开启 Symantec 防病毒服务。 1.16报告服务器帐号被锁定后如何解锁及遗忘密码如何处理 1． 解锁办法 symantec报告服务器有限制，如果连续登录错误超过3次，账号将被锁定。如果账号锁定了，请按如下办法解锁。  对只具有单个默认实例的MSDE、MSSQL 2000/2005（如果SQL server安装时没有自定义实例名称，就应该属于这种情况。），在dos窗口执行下面几个命令解锁帐号即可（注意，前两行后面有分号）： C:\>osql -E 1> use Reporting; 2> update adminuser set Locked='' where user_name='admin'; 3> go  exit （这里假定你们的报告服务器登录用户名是admin 。我们所安装的广东电网公司的服务器大多属于这种情况。为避免输错命令，建议你直接从文中复制每一行“>”符号后面的命令，在dos窗口点右键粘贴上去）  ---------------------------------------------------------------------------------- ***对具有自定义实例名或多个实例的MSSQL 2000/2005 , 需要用 -S 参数指定服务器名和实例名（-S server_name\instance_name ）。  可以用下面的命令来察看实例名列表: C:\>osql -L   假定服务器名是domainserver，实例名是“SAVDB”,在命令行窗口中执行以下命令，并替换这两个参数: osql -E -S SERVER_NAME\INSTANCE_NAME 即：osql -E -S domainserver\SAVDB   在osql 提示符后输入如下命令行（注意，前两行后面有分号）： use Reporting; update adminuser set Locked='' where user_name='USERNAME'; go exit 用你被锁定的用户帐号名来替换上面命令行中的USERNAME.（我们所安装的广东电网公司的SAV服务器使用的报告服务器用户名，大多数是admin ） 2．  复位密码的方法 如果你忘记了密码，解锁后还是不能登录报告服务器页面，请用如下方法之一复位密码。     以下方法比较复杂，如果不想这样做，建议卸载报告服务器软件和数据库，再重新安装。 --------------------------------------------------------------------      解锁后如果又不记得密码，请用如下方法修改密码：  方法一、通过osql命令复位密码：        如果你知道要修改密码的用户名(比如admin)，则第一步可以跳过不做。  1。在运行MSDE数据库的计算机上，在命令行提示符C:\>下输入如下命令：  osql -U sa -P password -Q "use reporting select user_name from adminuser" -o user_names.txt   这里password 是MSDE数据库sa用户帐号的密码.如果不知道sa密码，请用附件的工具清空sa密码（不过这样可能不太安全）。  用记事本打开user_names.txt文件，找到需要复位密码的用户名（如admin）.  2。在命令行提示符C:\>下输入如下命令来复位密码：   osql -U sa -P password -Q "use reporting UPDATE adminuser SET password = '6b42f8f5d4e916f55e81c97e0eeafdb1c85fe5bb' WHERE user_name = ''"    这里的  是你要改密码的那个用户名（如admin）.   使用这个用户名（如admin）和密码“resetme123”登录报告服务器，当看到提示时修改这个用户的密码即可。    方法二、通过SQL Server 企业管理器修改密码：   假如你使用Microsoft SQL Server 做为报告服务器数据库，你可以通过SQL Server 企业管理器修改密码。   在SQL Server 企业管理器中展开运行报告服务器组件的服务器--〉展开数据库（Databases）--〉展开Reporting数据库，点“表”（Tables）。   在右面板右键点adminuser表，点“打开表(Open Table )”,并且点“返回所有行(Return all rows)”   在user_name 表中找到你要改密码的那个用户，用6b42f8f5d4e916f55e81c97e0eeafdb1c85fe5bb替换原来的字符串。   关闭adminuser表。   使用这个用户名（如admin）和密码“resetme123”登录报告服务器，当看到提示时修改这个用户的密码即可。   如果还不行就只能重新安装报告系统了： 1。从控制面板“添加/删除程序”中删除report server组件，卸载时选择删除旧的报告数据库（以前的报告数据会丢失）。 2。重起服务器，然后用SAV服务器的安装程序重新选择安装报告服务器模块。具体过程可以参阅管理员手册。   1.17 病毒定义或扫描引擎不正常 1． 客户端病毒定义更新或引擎显示不正常，很可能是病毒定义更新bug引起的。需要修复病毒定义，并安装补丁；或卸载重新安装后安装补丁。SAV10.1.0安装补丁SAV10.1.0.398，SAV10.1.5安装补丁SAV10.1.5.5010, SAV10.1.6安装补丁SAV10.1.6.6010. 病毒定义修复工具可以使用以下网页上下载的病毒定义更新包（类似于20100324-002-i32.exe 或 20100324-002-x86.exe）： http://www.symantec.com/avcenter/download/pages/CS-SAVCE.html 补丁包可以在以下网页上下载： 为预防再次出现扫描引擎不正常，可以从以下网址下载相应补丁，给客户端安装升级一下，防止以后再出现同样问题： ftp://ftp.symantec.com/public/simplified_chinese /products/symantec_antivirus/symantec_antivirus_corp/10.1/updates/ 最好升级使用SAV10.1.7及以上版本。 1.18 针对管理大量客户端的服务器的配置建议 配置病毒定义管理器： 该选项设置防病毒服务器组中的服务器什么时间到什么地方更新病毒定义码和扫描引擎，以及各服务器下所属的的客户端什么时候到什么地方更新病毒定义码和扫描引擎。 选中需要配置的服务器，点击右键，点击“所有任务”-〉”Symantec antivirus”->“ 病毒定义管理器”功能。如下图所示：在“服务器检索病毒定义更新的方法”中选择“设置”按纽，然后选中“调度自动更新”，再选择“调度”，如下图所示，管理员可以根据需要设置。 在“客户端检索病毒定义更新的方法” 栏中设置服务器所属客户端到父服务器查询最新病毒定义码的时间间隔。选择“设置”，选中“从父服务器中设定客户端配置”，在“查收更新的间隔”栏中，键入具体的数值（该数值的推荐最小间隔根据如下公式计算：客户端数量 * 0.75分钟 （一般服务器性能不错的情况下可以考虑乘以 0.5分钟），如若网络中有1000台客户端，则客户端查收更新的间隔为1000*0.50=500分钟）。 配置服务器专用选项： 选中需要配置的服务器，点击右键，点击“所有任务”-〉”Symantec antivirus”->“服务器专用选项” 最下面两个值默认是5线程和17分钟，建议根据服务器硬件性能适当提高这两个值。通常客户端数量超过500时可以考虑设为30线程和34分钟。 1.19 Symantec tools 下载 Symantec tools下载位置： https://fileshare.symantec.com username: tools Password: Symantec@123 sav10.1补丁下载 ftp://ftp.symantec.com/public/simplified_chinese/products/symantec_antivirus/symantec_antivirus_corp/10.1/updates/ 1.20 a PAGE 1