Cегодня получил жалобу на то, что мой Exchange после установки ForeFront Server Security сервер буквально сжирает Интернет трафик. Больше 1,5 гига за ночь, загрузка канала почти 100% и не останавливается. Стал разбираться.
Обнаружил в логах сообщение:
Event Type: Error
Event Source: GetEngineFiles
Event Category: Engine Error
Event ID: 6014
Date: 8/6/2009
Time: 10:08:43 AM
User: N/A
Computer: EXCHANGERUS
Description:
Microsoft Forefront Server Security encountered an error while performing a scan engine update.
Scan Engine: Kaspersky5
Update Path: hxxp://forefrontdl.microsoft.com/server/scanengineupdate/x86/Kaspersky5
Proxy Settings: Enabled
Error Code: 0x80004005
Description: The operation timed out.
Это означает, что за указанный по умолчанию период времени – 300 секунд обновления не успевают скачиваться и обновляться.
Лечить просто — нужно увеличить временной промежуток. Как это сделать написано .
После этого ошибки из логов исчезли, трафика стало съедаться меньше, но все равно прилично.
В логах прокси сервера наблюдается интересная картина.
sc-bytes cs-uri
456
43 066
478
43 022
490
28 925 766
10 982
480
10 938
9 602 438
456
486
173 764
506
63 281 424
456
480
11 989
494
9 602 439
456
478
42 072
490
28 937 801
Мы видим размеры и путь к файлу, колонка со временем не влезает, но это в пределах ночи. Мы видим, что sophos_fullpkg.cab и command_fullpkg.cab скачались два раза. Хотя по идее сначала должно качаться полное обновление, а потом инкрементальное.
Механизм обновлений работает просто. Forefront вытягивает из Микрософта файл manifest.cab, смотрит изменился ли он и есть ли обновления. Если нет, то ничего не происходит. Если обновления появились, то !!! Forefront решает тянуть полную версию или инкрементальную. Если изменений много, то тянется полная версия обновлений.
Для меня пока является загадкой, почему мой Forefront не тянет инкрементальных обновлений, а только полные. Причем база с обновлениями Касперского весит 60 мегабайт, изменяется несколько раз в день. Зачем мне тянуть по 120 – 180 мегов в день?
В общем на данный момент у меня решения о том, как заставить Forefront тянуть инкрементальные обновления нет. Это никак не конфигурируется и логика зашита в код ForeFront.
Пожалуйста, посмотрите логи на ваших прокси или поищите файлы Ядро_fullpkg.cab в
C:\Program Files (x86)\Microsoft Forefront Security\Exchange Server\Data\Engines\x86\Ядро
где вместо Ядро_fullpkg.cab будет какой-нибудь Ядро_incrementalpkg.cab
Еще об обновлениях написано , а так информации довольно мало.
p.s. есть подозрение, что инкрементальные обновления появятся после того, как я активирую FF, пока он работает в триальном режиме.
UPDATE:
Написал в службу поддержки и выяснилось, что FULL updates скачиваются при первоначальной установке или если обновления не было месяц. А также если сервер является Redistribution Server. Это как раз мой случай. Вопрос в том, что теперь с этим делать?
Варианты следующие:
1. Разрешить всем серверам выход в Инет и чтобы сами выкачивали обновления, что на мой взгляд не совсем правильно.
2. Качать не все обновления, а только необходимые и уменьшить время проверки обновлений до раз в сутки
В общем есть над чем подумать.
Похожие посты:
- Microsoft: публичные бета-версии Exchange Server 2007 и Forefront Security для Exchange Server
- Комментарии по вчерашней встрече c Александром Николаевым о Microsoft Forefront Protection 2010 for Exchange Server
- Ориентировочный график выпуска программных продуктов Микрософт на 2007 год
- Испытания Kaspersky Hosted Security
- Microsoft Security Essentials, Outlook 2007 и Exchange server 2007