赛门铁克公司出品的Norton Antivirus 系列防病毒产品一直在业界享有很高的声誉,尤其是其提供的赛门铁克系统中心(以下简称SSC)的MMC插件
,更是使得用户在企业范围内部署和管理Norton Antivirus 产品变得十分的轻松,几乎所有的客户端安装和管理工作都可以在装有SSC的父服务器上完成。病毒定义文件的更新也变得非常的简单,只需在父服务器上配置Liveupdate工具定期从赛门铁克网站下载最新的病毒定义文件,然后同样在父服务器上配置客户端从父服务器中更新病毒定义,所有的工作都自动完成,极大地方便了用户的的使用。
问题陈述
然而,在我们部署SSC的实践中我们发现,SSC装在单网卡的主机上比较稳定,而装在双网卡的主机上时有时会出现问题。其具体现象是在双网卡的主机上安装完SSC并进行完客户端分发安装后,客户端可以接受父服务器的管理,也能从父服务器端得到病毒定义文件的更新,但是当父服务器重启或重启“Norton Antivirus 服务器”服务后,会出现所有客户端不接受父服务器管理,也无法从父服务器端更新病毒定义文件。
服务器-客户端通信工作原理
要解释该问题出现的原因,我们首先应该了解一下Norton Antivirus 父服务器端同客户端通信的工作机理。在父服务器端有一个配置文件GRC.DAT,在server-client通信中起着重要的作用,该文件位于父服务器的目录<OS Drive>:\Program Files\NAV\中。在父服务器利用SSC进行客户端的分发过程中,客户端通过读取GRC.DAT文件得到有关父服务器的配置信息,如服务器的名称、服务器同客户端通信所使用的网卡IP地址、客户端更新GRC.DAT文件的周期等,并将这些信息写入相关的配置文件中。需要注意的是注册表中的键值HKLM\Software\Intel\Landesk\VirusProtect6\CurrentVersion\AddressCache\<server>\Address_0,该键值在父服务器端及客户端均存在,用于确定进行server-client通信的服务器端IP地址。用regedt32打开该键值(如图1所示),
图1
从8位后开始的为该IP地址,C0A80001,两位两位的进行16进制到10进制的转换,得到我们熟悉的形式192.168.0.1。在正常情况下,父服务器端同客户端的该键键值应该是相同的,且均指向父服务器上处于客户端网段网卡的IP地址。客户端定期(每3分钟)向该键值确定的IP发送keepalive ping packet给服务器端,服务器端的Intel PDS服务在该键值确定的IP上实行侦听,当它收到keepalive ping packet后,发送一keepalive pong packet给客户端,完成一次通信。通过该ping-pong通信过程,父服务器和客户端可以相互获知对方的存在,从而保证了以后进行管理客户端的工作以及客户端的病毒定义文件更新工作的server-client通信。在联系不到父服务器的情况下,客户端尝试在本机上查找GRC.DAT文件并进行配置文件的更新。缺省情况下,在Windows 2000的客户端上,GRC.DAT文件所在的目录为<OS Drive>:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\;在Windows 95/98的客户端上,GRC.DAT文件所在的目录为<OS Drive>:\Program Files\Norton AntiVirus\;在Windows NT的客户端上,GRC.DAT文件所在的目录为<OS Drive>:WINNT\Profiles\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5\。还有一点需要注意的是,服务器端Address_0键值数据的确定是由SSC在每次启动时通过调用gethostbyname()的API来进行的,该API在空参数调用的情况下返回本机的IP列表,而该IP列表的顺序同网卡的绑定顺序有关,SSC选取列表的头一项数据写入Address_0键值,并将改动写入GRC.DAT文件,在客户端更新GRC.DAT文件的过程中将服务器端的改动通知给客户端。
解决方案
至此,我们可以得出如下结论:在双网卡的主机上安装SSC实行对客户端的集中管理,很有可能因为网卡顺序的错误绑定而导致在重启机器后产生SSC无法管理客户端的情况。其解决办法是,在安装完SSC后将网卡的绑定顺序更改为正确的顺序,即需要同客户端通信的网卡绑定在先。具体操作:在Windows 2000主机上,开始-设置-网络和拨号连接-高级-高级设置(如图2所示),
图2
调整网卡的绑定顺序(见微软知识库Q266771,http://support.microsoft.com/support/kb/articles/Q266/7/71.ASP);在Windows NT主机上,网络控制面板-绑定属性页-TCP/IP,调整网卡绑定顺序(见微软知识库Q164023,http://support.microsoft.com/support/kb/articles/Q164/0/23.asp)。而对于已经出现上述问题的情况,我们给出的解决办法是:首先,在父服务器端将网卡的绑定顺序改为正确的顺序,在重启父服务器端“Norton Antivirus 服务器”服务后,我们从服务器端<OS Drive>:\Program files\NAV目录下将文件GRC.DAT拷贝到各客户端的目录<OS Drive>:\Document and Settings\All Users\Application Data\Symantec\Norton AntiVirus Corporate Edition\7.5下。重启各客户端的“Norton Antivirus 客户端”服务,Norton Antivirus 完成父服务器端信息的提取工作,更改了注册表中的部分键值并删除了该GRC.DAT文件,以后客户端还是到父服务器端去查找该文件并更新相关信息。此时,父服务器同客户端的通信已经被恢复,可以通过SSC进行管理客户端的工作,客户端也可以从服务器端更新病毒定义文件.
本文中的软件环境为中文版Windows 2000 Advanced Server+SP2和中文版Norton Antivirus Corporate Edition 7.5。 |