SAV客户端的病毒定义不更新等问题解决方案（含脚本）20100126

SAV客户端的病毒定义没有更新 · 工作站装成为不接受管理： · 从服务器拷贝GRC.DAT文件、证书文件，把工作站改为接受管理 · IP通讯或物理连接问题 · 还没有到达更新的时间间隔： · 到达SSC设置的时间间隔自动更新 · 工作站的父服务器没有更新 · 在SSC中检查工作站的父服务器的更新设置，改正不正确的设置 关于Symantec客户端不能更新病毒定义问题的具体检查和处理办法： 在安装Symantec Antivirus 10.0版本以后，发现有部分机器存在病毒库升级不及时或不能升级的问题，首先在确定网络接通的情况下，我们需要进一步确认问题在哪里。 1． 首先检查防病毒父服务器的病毒定义是否正常，是否已升级到最新。（这一步必须做）。如果正常则继续做第2步，否则先检查防病毒父服务器的病毒定义更新配置是否被改变了，或者服务是否在正常运行。 2． 在windows控制面板->计算机管理器中检查客户端sav服务是否在运行； 检查SAV客户端界面中“查看”—〉“自动防护状态”，右边的文件检查数量是否有显示，有显示则正常； 通过任务管理器检查Symantec AntiVirus进程ccApp.exe、Rtvscan.exe是否在运行，如果有问题，且重启动后还是这样，请卸载SAV客户端软件，重新启动操作系统后再重新安装SAV客户端软件。 3． 如果是windows XP sp2操作系统，请在微软的防火墙上加两个端口例外策略，tcp2967（Symantec Antivirus10以上版本）udp2967（Symantec Antivirus 10.0以下版本），再加一个应用程序例外策略：Ravscan.exe。 4． 在客户端命令行下，输入cd\program files\symantec antivirus回车，输入savroam /check_parent回车，检查客户端跟服务器之间联系是否正常。 5． 如果返回正常（显示连接状态是“fine”），而客户端又不能更新，那只能一种可能性，就是客户端的病毒库损坏，需要下载一个客户端的病毒库更新程序，在客户端手动更新一下就可以了。下载地址：http://securityresponse.symantec.com/avcenter/download/pages/US-SAVCE.html下载*_x86.exe文件，双击运行就可以了。 如果返回信息不正常，首先ping一下防病毒服务器的名字，看能否正常解析主机名。如果不行，请查看DNS设置是否正常。如果ping通了，请检查c:\program files\symantec antivirus\pki\roots目录下面是否有服务器证书文件。如果没有请把防病毒服务器上c:\program files\SAV\pki\roots\(或者 \\[父服务器IP]\vphome\clt-inst\win32\pki\roots\)目录下面的全部文件拷贝到客户端的c:\program files\symantec antivirus\pki\roots目录下面；再从c:\program files\SAV\ (或者 \\[父服务器IP]\vphome\clt-inst\win32\ )拷贝GRC.DAT文件到客户端以下位置： C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5 重启客户端“symantec antivirus” 这个服务或重起动电脑(grc.dat文件将消失)。 （注意选对客户端所在地区使用的sav服务器的grc.dat文件） 通过上面的设置检查，应该可以保证客户端正常更新病毒库。 下面提供一个脚本解决这些复制根证书和grc.dat的问题，如有必要的话还可以同时修改客户端hosts文件。请将下面脚本内容部分复制到一个文本文件中，改名为savfix.cmd 。客户端更新有问题时也可以在客户端执行一下即可；当然也可以通过域登录脚本来大批量分发。 注意，使用时请根据实际情况添加修改文件路径，以保证copy命令执行时能找到相应的文件。这个脚本里映射了一个临时盘符S:，以方便操作，重启动后将不会再重复连接。 假定文件服务器IP为10.10.10.10，主机名为fileserver1； 假定SAV防病毒服务器IP为10.10.10.11，主机名为savserver1； 注意，如果有多台sav服务器，请注意给每台sav服务器管理的客户端使用相对应的服务器参数、grc.dat和pki证书，不能混用。 将sav服务器根证书和grc.dat从防病毒服务器上复制到10.10.10.10的共享文件夹share中。根证书名字假定是"35a527e70ea06044b32c5e91e386e087.0.servergroupca.cer"。脚本内容如下： ---------------------------------------------------------------------------------- net use S: \\10.10.10.10\share\ /PERSISTENT: NO S： md "%ProgramFiles%\Symantec AntiVirus\pki\roots" copy /y "35a527e70ea06044b32c5e91e386e087.0.servergroupca.cer" "%ProgramFiles%\Symantec AntiVirus\pki\roots" copy /y "grc.dat" "%allusersprofile%\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5 REM echo 10.10.10.11 savserver1>>%windir%\system32\drivers\etc\hosts Del /F/Q "%allusersprofile%\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\*.wdb" Del /F/Q "%allusersprofile%\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\*.idx" net stop "symantec antivirus" net start "symantec antivirus" --------------------------------------------------------------------------------- 说明： 35a527e70ea06044b32c5e91e386e087.0.servergroupca.cer请用实际环境中使用的证书文件名替代。 如果客户端不能使用DNS、WINS来解析服务器名称，则需要修改hosts文件，将客户端的sav父服务器记录添加进去。 那麽请删除前面的“REM” ，10.10.10.11 savserver1请用实际环境中使用的服务器IP和主机名替代（注意中间有一个空格）。 还有一种比较特殊的情况，SAV10.1.6.6000及以下版本产品上有bug，在更新病毒定义时可能会随机发生错误，可能会导致病毒定义或扫描引擎不正常。需要修复病毒定义，并打补丁SAVCE_10.1.6010，或者卸载重装后再打补丁。 1． SAV客户端扫描引擎显示不正常，估计是病毒定义有问题。此问题现已确认是产品的一个bug，SAV10.x产品的“自动病毒定义修复功能”有设计缺陷，可能会发生随机错误，导致病毒定义下载后不能正常替换，导致病毒定义更新失败，扫描引擎不能正常工作。需要修复病毒定义,并安装SAV10.1.6.6010补丁，或卸载后重新安装SAV（也必须打补丁）。病毒定义修复工具和补丁下载位置参见下面的说明。 除引擎显示不正常的外，还有5台客户端超过15天未正常更新，应该需要修复病毒定义，或卸载重新安装SAV。不正常的客户端列表见附录。 病毒定义修复工具可以在以下网页上下载： 请使用下面的帐号访问下面的链接，下载Rx4Defs_Clients.exe 在病毒定义或扫描引擎显示不正常的电脑上执行一下，修复病毒定义。然后重起动系统，再观察一下客户端是否正常更新。 (注意，这个文件只用于SAV客户端,如果防病毒服务器需要修复病毒定义，则需要下载Rx4Defs_Servers.exe ) https://fileshare.symantec.com username: tools Password: Symantec@123 工具软件名称： Rx4Defs_Clients.exe 只用于客户端 Rx4Defs_Servers.exe 只用于服务器 SAV补丁可以在以下网页上下载： 为预防再次出现扫描引擎不正常，可以从以下网址下载补丁SAVCE_10.1.6.6010_AllWin_CS.zip ，给父服务器和出问题的客户端安装升级一下： ftp://ftp.symantec.com/public/simplified_chinese /products/symantec_antivirus/symantec_antivirus_corp/10.1/updates/ 由于一种比较特殊的情况，SAV10.1.6.6000及以下版本是好几年前的产品了，产品设计上有bug，与现在使用的病毒定义配合上存在问题，在更新病毒定义时可能会随机发生错误，可能会导致病毒定义或扫描引擎不正常。 其现象是，在客户端\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\下会发现有几个扩展名为.wdb或.idx的临时文件（正常情况下应该在升级定义的过程结束后应该会自动删除），这些临时文件积累到一定数量后就不能再更新定义了；在客户端或者在SSC管理控制台上会发现这种客户端的扫描引擎版本显示是空的。     这问题需要修复病毒定义，并打一个sav的补丁来解决。sav10.1.5打SAVCE_10.1.5010补丁，sav10.1.6打SAVCE_10.1.6010，或者卸载已经损坏的产品，重新安装后再打补丁（可能需要先手工删除那些扩展名为.wdb或.idx的文件）。打补丁的目的是防止以后再出同样的问题。   Symantec补丁修复工具下载地址： https://fileshare.symantec.com/ username: tools Password: Symantec@123   定义修复工具为：\SAVCE SCS only\Rx4Defs_2.40.exe   补丁SAVCE_10.1.5.5010_AllWin_CS.zip或SAVCE_10.1.6.6010_AllWin_CS.zip下载位置在： ftp://ftp.symantec.com/public/simplified_chinese/products/symantec_antivirus/symantec_antivirus_corp/10.1/updates/     还有一种办法是，将SAV服务器升级到sav10.1.7.7000版本，然后将客户端也升级到sav10.1.7.7000版本，这样就不用再打补丁了。