none
Exchange после касперского. RRS feed

  • Вопрос

  • Добрый день.

    Случайно был установлен касперский endpoint security на сервер 2012r2 с Exchange 2016 CU12.

    Разумеется, моментально был удален стандартными средствами, после чего попросил перезагрузку для завершения удаления.

    После удаления почта перестала ходить, в логах появились ошибки:

    1106: The FIP-FS Scan Process failed initialization. Error: 0x80010105. Error Details: The server threw an exception.

    1000: 

    Faulting application name: scanningprocess.exe, version: 15.1.1713.1, time stamp: 0x5c499064
    Faulting module name: scanningprocess.exe, version: 15.1.1713.1, time stamp: 0x5c499064
    Exception code: 0xc0000005
    Fault offset: 0x000000000005c5fd
    Faulting process id: 0x3ae0
    Faulting application start time: 0x01d54c38f6375d9e
    Faulting application path: C:\Program Files\Microsoft\Exchange Server\V15\FIP-FS\Bin\scanningprocess.exe
    Faulting module path: C:\Program Files\Microsoft\Exchange Server\V15\FIP-FS\Bin\scanningprocess.exe
    Report Id: 3b60cac8-b82c-11e9-80ec-b083feeb0c76
    Faulting package full name: 
    Faulting package-relative application ID: 

    Было сделано:

    Disable-TransportAgent "Malware Agent”, почта забегала.

    и 

    .\Disable-AntimalwareScanning.ps1

    Ошибки остались. Решения с правами для FIP-FS не помогают, т.к. права для Network Service выставлены верно.

    Поможет ли обновление до CU 13 в данной ситуации, чтобы ликвидировать последствия стороннего ПО и устранить данные ошибки, а так же вернуть "Malware Agent” в состояние Enabled?

    6 августа 2019 г. 9:42

Ответы

  • Бекап баз данных и можно ставить.

    Не факт, что CU13 обновит ветки реестра и службы фильтрации.

    Все равно следующий шаг восстановление.


    MCITP, MCSE. Regards, Oleg

    • Помечено в качестве ответа User-name 20 августа 2019 г. 5:50
    7 августа 2019 г. 11:03
    Модератор
  • Всем доброго времени суток. Спешу отчитаться о проделанной работе.

    Обновление с CU12 до CU13 помогло решить проблему. Ошибки ушли, последствия пребывания на сервере ПО от касперского устранены.

    Всем спасибо за участие!

    • Помечено в качестве ответа User-name 20 августа 2019 г. 5:50
    20 августа 2019 г. 5:50

Все ответы

  • Нужно вычистить касперского полностью с компьютера.  Папки, реестр.  Можете сделать на отдельной машине слепок реестра, установить касперского и посмотреть, куда он пишет. 

    Можно использовать тулзу. http://complike.ru/sravnenie-reestra-ili-kak-sdelat-rezervnuyu-kopiyu-reestra/


    Youtube канал о Exchange Server
    Группа Facebook по Exchange Server
    Чат в Telegram по Exchange Server
    Группа Facebook по PowerShell

    6 августа 2019 г. 10:14
  • День добрый.

    1. How to remove Kaspersky Security 9.x for Microsoft Exchange Servers
    https://support.kaspersky.com/us/11657

    2. Перезагрузится и проверить в списке программ.

    Возможно. Проверить вашу версию в списке программ и запустить повторно удаление через Remove tool

    Removal tool for Kaspersky Lab applications (kavremover)
    https://support.kaspersky.com/common/uninstall/1464#block3

    3. Перезагрузка и проверить статус Exchange служб и FW.

    Get-Service | Where {$_.DisplayName -Like "*Exchange*"} | ft DisplayName, Name, Status

    Get-ServerHealth -Identity Server01

    Overview of Exchange services on Exchange servers
    https://docs.microsoft.com/en-us/exchange/plan-and-deploy/deployment-ref/services-overview?view=exchserver-2019

    Network ports for clients and mail flow in Exchange

    https://docs.microsoft.com/en-us/exchange/plan-and-deploy/deployment-ref/network-ports?view=exchserver-2019

    PS. Возможно вам прийдется провести востановление Exchange и DB из бекапа.   


    MCITP, MCSE. Regards, Oleg

    6 августа 2019 г. 19:10
    Модератор
  • Павел, спасибо за ответ!

    Развернули тестовый 2012R2, сделали дамп реестра, установили ту же версию касперского.

    ----------------------------------
    Всего изменений:70454
    ----------------------------------

    Новых аж:

    ----------------------------------
    Новые разделы:28209
    ----------------------------------

    Слов нет, одни эмоции. Видимо, проще развернуть новый, чем это вычищать.

    7 августа 2019 г. 4:01
  • Олег, спасибо за ответ!

    1. Удаление прошло в штатном режиме, стандартным деинсталлятором, как и по ссылке.

    2. После перезагрузки в списке программ отсутствует. В списке поддерживаемых наша версия в kavremover тоже отсутствует.

    3. 

    get-healthreport -server exchange_srv | where {$_.alertvalue -ne “healthy”} | ft -auto

    Server   State         HealthSet      AlertValue LastTransitionTime MonitorCount
    ------   -----         ---------      ---------- ------------------ ------------
    exchange_srv Online        HubTransport   Unhealthy  07.08.2019 7:18:03 67
    exchange_srv NotApplicable AMScanningDown Unhealthy  07.08.2019 7:38:41 8
    exchange_srv Online        OAB.Proxy      Unhealthy  05.08.2019 9:35:05 1

    Порты открыты, за исключением IMAP4 и POP3, эти протоколы у нас не используются.

    Получается так, что при включении TransportAgent "Malware Agent” он не может сканировать письма из-за краша scanningprocess.exe и отправляет абсолютно все письма в очередь.

    Самое простое, что приходит в голову, обновить до CU 13. Поможет ли это по-вашему?

    Данная идея еще описана тут - https://blogs.technet.microsoft.com/exchangechallengeaccepted/2016/02/18/microsoft-filtering-management-service-wont-start-on-exchange-2013/

    7 августа 2019 г. 4:16
  • Бекап баз данных и можно ставить.

    Не факт, что CU13 обновит ветки реестра и службы фильтрации.

    Все равно следующий шаг восстановление.


    MCITP, MCSE. Regards, Oleg

    • Помечено в качестве ответа User-name 20 августа 2019 г. 5:50
    7 августа 2019 г. 11:03
    Модератор
  • Спасибо, Олег. На выходных или на следующей неделе будем пробовать. Отпишусь тут о результатах.
    8 августа 2019 г. 11:05
  • Всем доброго времени суток. Спешу отчитаться о проделанной работе.

    Обновление с CU12 до CU13 помогло решить проблему. Ошибки ушли, последствия пребывания на сервере ПО от касперского устранены.

    Всем спасибо за участие!

    • Помечено в качестве ответа User-name 20 августа 2019 г. 5:50
    20 августа 2019 г. 5:50