Office-Scan技术培训进阶篇 PPT课件

OfficeScan运行维护和常见问题的处理概要 如何重装OSCE服务器端程序 服务器端新装后的配置建议 日常运行和维护管理方法 OSCE常见问题的处理 OSCE的性能优化设置方法概要 如何重装OSCE服务器端程序 服务器端新装后的配置建议 日常运行和维护管理方法 OSCE常见问题的处理 OSCE的性能优化设置方法备份 配置文件 …ProgramFiles\TrendMicro\OfficeScan\PCCSRV\ofcscan.ini文件 数据库（可选） …ProgramFiles\TrendMicro\OfficeScan\PCCSRV\HTTPDB目录 策略 设置策略 控制台：客户机>导出/导入>导出策略>导出>保存 防火墙策略 \ProgramFiles\TrendMicro\OfficeScan\PCCSRV\Private\PFW目录获取原始安装信息 服务器安装方式（机器名/IP地址） 从Server端查 …ProgramFiles\TrendMicro\OfficeScan\PCCSRV\ofcscan.ini文件 参数Master_DomainName 从Client端查 注册表HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion Server键值获取原始安装信息 服务器端端口号 从Server端查 …ProgramFiles\TrendMicro\OfficeScan\PCCSRV\ofcscan.ini文件 参数Master_DomainPort 从Client端查 注册表HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion ServerPort键值获取原始安装信息 客户端端口号 从Server端查 …ProgramFiles\TrendMicro\OfficeScan\PCCSRV\ofcscan.ini文件 参数Client_LocalServer_Port 从Client端查 注册表HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion LocalServerPort键值获取原始安装信息 是否开启了SSL和其端口 从Server端查 …ProgramFiles\TrendMicro\OfficeScan\PCCSRV\ofcscan.ini文件 参数Master_EnableSSL和Master_SSLPort如何最小化安装代价 场景一 需要更换原服务器A，由新服务器B来管理原服务器A的所有客户端 问题 不希望大面积重新安装客户端 解决方法 重装前从服务器端迁移服务器A的所有客户端到服务器B 新服务器B安装时沿用原来的客户端端口号注：迁移方法后续讲解如何最小化安装代价 场景二 原服务器由于硬件损坏等原因已经无法登录，需要重新找一台服务器作为OSCE服务端 问题 无法找到原始安装信息 解决方法 从客户端获取原始安装信息 新安装时沿用原来的服务器安装方式、服务器端和客户端端口号等信息概要 如何重装OSCE服务器端程序 服务器端新装后的配置建议 日常运行和维护管理方法 OSCE常见问题的处理 OSCE的性能优化设置方法更新设置 安装后立即执行一次“手动更新” 确认所有组件能更新到最新的防毒组件版本更新设置 更新源设置 设置更新源的目的 设置方法 在客户机视图选中将充当更新源的客户机，选择客户机权限/设置，选择充当更新代理 更新设置 设置方法（续1） 在客户机部署>更新源，选择“定制的更新源”，并选择添加更新设置 设置方法（续2） 输入从更新代理更新的客户机范围 选择已设定的更新代理计算机扫描设置 实时扫描和手动扫描扫描设置 预设扫描——选择非高峰时间段扫描设置 分别添加实时/手动/预设扫描的例外目录 针对Win9x/Me计算机 C:\ProgramFiles\TrendMicro\OfficeScanClient\Backup C:\ProgramFiles\TrendMicro\OfficeScanClient\UnsentVirus 针对WinNT/2000/2003/XP计算机 C:\ProgramFiles\TrendMicro\OfficeScanClient\Backup C:\ProgramFiles\TrendMicro\OfficeScanClient\Suspect 针对服务器 添加数据库（如MSSQLServer）的目录 添加邮件服务器（如Domino）的目录 添加特殊应用的程序目录（可选）权限设置 赋予客户端合适的权限验证连接 确保客户端和服务器端的连接全局客户机设置概要 如何重装OSCE服务器端程序 服务器端新装后的配置建议 日常运行和维护管理方法 OSCE常见问题的处理 OSCE的性能优化设置方法客户端安装 Web方式安装 控制台登陆页点击“单击此处”进行安装客户端安装 打包方式安装 制作安装包\ProgramFiles\TrendMicro\OfficeScan\PCCSRV\Admin\Utility\ClientPackager\ClnPack.exe 双击运行即可安装产品的服务 服务器端 OfficeScanMasterService 客户端 OfficeScanNT个人防火墙 OfficeScanNT实时扫描 OfficeScanNT侦听程序客户端迁移（一） 从服务端上迁移（方法一） 适用范围 迁移所有的客户端到另外一台服务器 更改所有客户端与服务端联系的端口 特点：迁移动作必须通知到客户端才会生效 方法：控制台管理>Web服务器客户端迁移（二） 从服务端上迁移（方法二） 适用范围：迁移大量客户端到另一台服务器 特点：迁移动作会立即部署到客户端生效 方法：选中需要迁移的客户机/组设置客户端迁移（三） 在客户端上使用ipxfer工具迁移 适用范围：只能对单台客户端迁移 特点：立即生效，可以访问相关服务器检查是否生效 方法 复制服务器端…\TrendMicro\OfficeScan\PCCSRV\Admin\Utility\IpXfer\IpXfer.exe到客户端…\TrendMicro\OfficeScanClient目录下 在客户端使用命令行方式运行ipxfer命令加上相应参数爆发阻止功能 应用场景 具有某一特征的新病毒在网络中大规模爆发 为预防特定特征的病毒在网络中的扩散 病毒爆发到相应的病毒码发布间的空档期 功能 阻止共享文件夹 封闭端口 拒绝写入文件和文件夹 特点 具有自动恢复功能爆发阻止功能客户端看守进程 防黑模式 随机命名进程以阻止恶意程序的识别和终止产品许可证更新 控制台管理>产品许可证数据库备份组件版本的还原 紧急还原到上个版本的病毒码/引擎文件 前提：上个版本的病毒码/引擎文件未被删除 方法：控制台>更新>还原TMVS工具 用来评估网络中未被保护的计算机概要 如何重装OSCE服务器端程序 服务器端新装后的配置建议 日常运行和维护管理方法 OSCE常见问题的处理 OSCE的性能优化设置方法OfficeScan的常见问题处理 更新问题 通讯问题 安装\卸载问题 性能优化和其它常见问题 参考资料 网络通讯 pingTMCM_Server_IP 若无法ping通 可使用tracert命令，查找网络问题服务器端更新——检查和处理（一）服务器端更新——检查和处理（二） 检查server.ini文件是否可以下载 在浏览器中输入http://TMCM_Server_IP:80/TvcsDownload/ActiveUpdate/server.ini检查 若无法下载 Officescan服务器端前方有防火墙、ISA等设备 检查防火墙等设备是否有限制文件诸如*.ini等文件的下载，保证officescan服务器端能正常下载更新所需文件 网络内需代理服务器连接TMCM 在OSCE中正确设置相应的代理服务器信息 可尝试清空代理服务器的缓存服务器端更新——检查和处理（三） 排除了网络问题后 清空产品更新目录 …\pccsrv\AU_* …\pccsrv\web\service\AU_* 清空Windows临时目录 …\DocumentsandSettings\<user_name>\LocalSettings\TemporaryInternetFiles 查看更新日志 tmudump.txt客户端更新——检查和处理（一） 网络通讯 服务端、客户端双向telnet端口 telnetIP_Address/Machine_NamePort 如果服务器采用的机器名安装，telnet时使用机器名 telnet不通 机器名解析问题 尝试添加hosts记录 端口被阻止 检查端口是否正确 网络情况（硬件\软件防火墙）客户端更新——检查和处理（二） 检查server.ini文件是否可以下载 在浏览器中输入http://Server_IP(name):Server_Port/OfficeScan/download/server.ini检查 若无法下载 Windows2003的安全级别较高，MIME的设置过滤了与更新相关的一些文件类型 打开InternetInformationServiceManager，选中服务器->属性->MIME类型->新建，新建.*的MIMEType IIS的Lockdown工具阻止了server.ini文件的下载 安装SUS后，程序会自动在IIS中安装LockdownTool，该插件默认会阻挡*.ini文件的下载 解决方法参考SUS客户端更新——检查和处理（三）客户端更新——检查和处理（四） 排除了网络问题后 清空产品更新目录 …\TrendMicro\OfficeScanClient\AU_* 清空Windows临时目录 …\DocumentsandSettings\<user_name>\LocalSettings\TemporaryInternetFiles 查看病毒日志 tmudump.txt 参考Tmudump日志分析通讯问题——概述 多数的通讯问题，会与更新问题同时出现 解决方法参考更新问题的检查处理方法通讯问题——端口准确性 客户端显示断线，或服务器端显示客户机离线 检查网络通讯 服务端、客户端双向telnet端口 telnetIP_Address/Machine_NamePort 如果服务器采用的机器名安装，telnet时使用机器名 端口的确认 服务端ofcscan.ini Client_LocalServer_Port Master_DomainPort 客户端注册表HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion LocalServerPort ServerPort通讯问题——NAT情况 客户端图标显示状态正常，但服务器端显示客户机离线 检查服务器端与客户端之间是否有网络地址转换（NAT） NAT会将客户端的实际地址转换成某一个或某几个地址，导致服务器端无法正常通讯到客户端通讯问题——非NAT情况 客户端图标显示状态正常，但在控制台上无法显示客户机 检查客户机是否是Server操作系统，而激活码却仅支持WorkStation 检查是否客户机因使用镜像方式安装而使用了同一GUID 检查服务端httpdb数据库目录是否存在tmp临时文件，可尝试清空数据库，并重启双方服务 telnet双方端口客户端安装——Web方式安装（一） 通过web方式安装，点击“立即安装”后,出现空白页面，并浏览器左下角的进程状态显示”完成” 清空或重建服务器端系统临时文件夹 %windir%\temp 清空前先停止Officescan和IIS服务 重建temp目录后给予IUSR读写和运行权限客户端安装——Web方式安装（二） 通过Web安装，提示需要安装ActiveX控件 检查ActiveX控件是否正确下载安装 移除ActiveX控件后重新打开控制台安装 手动注册ActiveX控件 具体步骤参考安装客户端时提示ActiveX错误.doc客户端安装——Web方式安装（三） 客户端通过Web安装，提示“没有管理员权限” 确认使用管理员帐号 将浏览器安全选项（工具internet选项安全）设为默认级别 如果是XP系统 将文件夹选项查看下的“使用简单文件共享”取消 在本地安全设置本地策略安全选项下，将网络访问“本地帐户的共享和安全模式”改为经典方式客户端安装——打包安装（一） 在制作Officescan打包程序时，出现“系统找不到指定的文件” 开启打包程序的debug功能 ...\PCCSRV\Admin\Utility\ClientPackager\clnextor.ini debugmode=1 生成的c:\clnpack.log日志记录制作安装包时调用的最后一个文件 比对...\PCCSRV\Admin\Utility\ClientPackager\ClnPack.ini中最后一个文件的下一个文件的路径和名称 在OSCE安装程序或其它OSCE服务器端找到该文件复制 例:C:\clnpack.log中的记录 ..\PCCSRV\Admin\Utility\ClientPackager\ClnPack.ini中记录的文件. 该例中Admin\TSC.exe出错.客户端安装——打包安装（二）客户端安装——打包安装（三） 在目的客户机上双击运行制作好的安装包没有任何响应，但是在任务管理器中可以看到相关进程正在运行 使用winrar等解压工具将安装包解压缩 直接运行解压后的可执行文件补丁安装 部署hotfix时失败 确保在Clients>ClientPrivilegesandSettings下，选项“Forbidprogramupgradeandhotfixdeployment”没有被选上 服务端和客户端操作系统日期时间是否一致 安装hotfix部署失败的补丁 OSCE7.3sc:osce_73_win_sc_hfb1184.1 注意：安装前先回退引擎版本到8.32以前或阅读Readme文件进行更改概要 如何重装OSCE服务器端程序 服务器端新装后的配置建议 日常运行和维护管理方法 OSCE常见问题的处理 OSCE的性能优化设置方法性能优化——减少对系统资源的占用 在配置较低的客户端，如何设置可以减小产品对系统资源的影响? 实时扫描 设置使用IntelliScan-真实文件类型识别 扫描传入文件（即写入时扫描） 扫描压缩文件设为最多1层 手动扫描和预设扫描 将扫描时的CPU利用率调低 开机时的TSC预扫描 安装hotfix1159后可以去除开机tsc预扫描性能优化——日志精简 日志中出现许多相同病毒的日志，如何进行精简?性能优化——隔离目录的更改 如何更改默认的隔离目录? 在officescan服务器上新建一个文件夹（例d:\virus） 共享该文件夹，并在”安全”中，给予everyone读写和运行权限 在扫描选项中，将隔离目录设为\\Server_IP\virus 更改...PCCSRV\ofcscan.ini文件 quarantine_folder=d:\virus 注意：在扫描选项中使用unc路径 格式 pdf格式笔记格式下载页码格式下载公文格式下载简报格式下载 ，而在修改ofcscan.ini时需采用本地路径性能优化——例外目录的设置 安装了OfficeScan客户端，需要添加哪些目录到例外扫描列表？ 一般企业中的关键应用都建议加入扫描例外列表中 MSSQLserver Exchange Domino Oracle等 一些常用的例外目录设置可参考：例外目录 更多例外设置请查询各应用程序厂方知识库性能优化——存在流量限制的环境（一） 网络中存在严格的流量限制或带宽比较小的环境下如何设置客户端尽快地获得病毒码的更新？ 及时更新病毒码，尽可能使用增量更新的方式 设置更新代理，使不同客户端从不同更新源获取更新 设置非高峰时间进行组件更新性能优化——存在流量限制的环境（二） 客户端更新时，大量的并发更新连接是否会对网络有影响?如何根据实际的网络情况设置具体的客户端更新连接? 可以使用SvrTune服务器调整程序，设定并发的更新连接数量，连接超时时间性能优化——增加服务器的处理能力（一） 服务器的进程管理器显示大量CGI程序性能优化——增加服务器的处理能力（二） 减少服务器的更新和客户端的部署频率 参数设置 TCP/IP服务（手动添加）HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersMaxUserPort=65534(默认为空)TcpTimedWaitDelay=30(默认为空) 加大数据库缓存默认值为10240(10MB).打开ofcscan.ini文件，将这个值设置为您空余内存的10%[INI_DBFILE_SECTION]DB_MEM_OPT_MAX=102400性能优化——增加服务器的处理能力（三） 参数设置（续） 加大处理线程数（手动添加）这取决于服务器的CPU数量，在ofcscan.ini中将值设定为网络中CPU数量的20倍[INI_SERVER_SECTION]Command_Handler_Maxium_Thread_Number=x 验证连接取决于网络性能。如果是100M以太网，建议将值设置为64-128[INI_SERVER_SECTION]VerifyConnectionThreadCount=16(默认值)常见问题——冲突问题 遇到安装了OfficeScan客户端后系统发生异常状况如何排错？ 依次停止OfficeScan客户端服务，确认引起问题的模块 检查是否存在关键应用没有列入例外扫描列表 检查应用程序和系统日志的报错 检查问题发生时间点是否设置过预设任务参考文档 SUS Tmudump日志分析 安装客户端时提示ActiveX错误 例外目录 重组IIS OSCEschotfix OSCEchecklistThankYou!