Microsoft Forefront Protection 2010 for Exchange Server. Эксплуатация.(Часть 3)

от автора

в

Настройка уведомлений по электронной почте

 

Уведомления, отправляемые по электронной почте, полезны для информирования пользователей Exchange об изменениях во вложениях, произошедших вследствие очистки от вредоносных программ или фильтрации, и о заражениях, которые были обнаружены, но не устранены. Такие уведомления также важны для администраторов, предпочитающих получать информацию по электронной почте, а не заниматься постоянной проверкой журналов на предмет каких-либо действий.

Настройка уведомлений

В FPE используются два указанных ниже типа уведомлений.

Уведомление о происшествии — уведомление, отправляемое FPE и содержащее сведения о вредоносной программе или срабатывании фильтра. Эти уведомления можно настроить таким образом, чтобы они отправлялись и отправителю, и получателям сообщения. Дополнительные сведения о типах уведомлений о происшествиях см. в разделе Об уведомлениях о происшествиях.
Уведомление о событии — уведомление, отправляемое FPE администратору и содержащее сведения о состоянии программы. Эти уведомления можно отключать и настраивать. Дополнительные сведения о типах уведомлений о событиях см. в разделе Об уведомлениях о событиях.

Настройка уведомлений

В представлении Консоль администрирования Forefront Protection 2010 for Exchange Server Мониторинг разверните в дереве узел Конфигурация и выберите элемент Уведомления.

В области Конфигурация — Уведомления выводится список доступных уведомлений, сгруппированных по типу, и роли уведомлений, для которых эти уведомления включены. Каждое уведомление настраивается отдельно.

Щелкните правой кнопкой мыши уведомление, которое необходимо настроить, и выберите команду Изменить уведомление. Дополнительные сведения о назначении каждого уведомления см. в разделе Об уведомлениях.

В диалоговом окне Изменение уведомления укажите роль уведомления (для которой настраивается уведомление), выбрав один из перечисленных ниже параметров.

Администратор — уведомления отправляются администраторам при возникновении определенного происшествия или события. Для администраторов можно настроить все типы уведомлений. Эта роль уведомления установлена по умолчанию.
Внутренний отправитель — уведомления о происшествиях отправляются отправителю сообщения электронной почты, которое стало причиной происшествия, если отправитель находится внутри организации.
Внешний отправитель — уведомления о происшествиях отправляются отправителю сообщения электронной почты, которое стало причиной происшествия, если отправитель находится вне организации.
Внутренний получатель — уведомления о происшествиях отправляются получателям сообщения электронной почты, которое стало причиной происшествия, если получатели находятся внутри организации.
Внешний получатель — уведомления о происшествиях отправляются получателям сообщения электронной почты, которое стало причиной происшествия, если получатели находятся вне организации.

 

Настройте для выбранной роли уведомления указанные ниже параметры.

Включить — если этот флажок установлен, уведомление включено. По умолчанию все уведомления о происшествиях отключены, а все уведомления о событиях включены, за исключением уведомлений Модуль обновлен и Обновление модуля недоступно. Дополнительные сведения о подавлении отдельных включенных уведомлений для фильтров и проверки наличия вредоносных программ см. в списке “Связанные разделы” в конце данной темы.
Получатели — список пользователей и групп через точку с запятой, которые будут получать уведомление. Этот список можно изменить только для роли уведомления Администратор. В этот список могут входить имена, псевдонимы и группы Exchange. Если щелкнуть параметр правой кнопкой мыши и выбрать команду Вставить поле, можно будет выбрать макрос подстановки ключевого слова; дополнительные сведения см. в разделе Макросы подстановки ключевых слов.
Копия — список пользователей и групп через точку с запятой, которые будут получать копии уведомления. В этот список могут входить имена, псевдонимы и группы Exchange. Если щелкнуть параметр правой кнопкой мыши и выбрать команду Вставить поле, можно будет выбрать макрос подстановки ключевого слова; дополнительные сведения см. в разделе Макросы подстановки ключевых слов.
Скрытая копия — список пользователей и групп через точку с запятой, которые будут получать скрытые копии уведомления. В этот список могут входить имена, псевдонимы и группы Exchange. Если щелкнуть параметр правой кнопкой мыши и выбрать команду Вставить поле, можно будет выбрать макрос подстановки ключевого слова; дополнительные сведения см. в разделе Макросы подстановки ключевых слов.
Тема — тема отправляемого уведомления. Если щелкнуть параметр правой кнопкой мыши и выбрать команду Вставить поле, можно будет выбрать макрос подстановки ключевого слова; дополнительные сведения см. в разделе Макросы подстановки ключевых слов.
Текст сообщения — текст отправляемого уведомления. Если щелкнуть параметр правой кнопкой мыши и выбрать команду Вставить поле, можно будет выбрать макрос подстановки ключевого слова; дополнительные сведения см. в разделе Макросы подстановки ключевых слов. (Администраторы могут добавлять в это поле заголовки MIME, используя макрос MIME.)
Примечание. При включении на пограничном транспортном сервере уведомлений Обнаружен вирус, Соответствие фильтру файлов, Обнаружен вирус-червь или Совпадение с условием фильтра по ключевым словам для правильной работы уведомлений необходимо использовать полный SMTP-адрес (например: Administrator@contoso.com).

Кроме того, для этого уведомления можно настроить дополнительные роли.

Чтобы вернуться в область Конфигурация — Уведомления, нажмите кнопку Применить и закрыть, после чего нажмите кнопку Сохранить.

Об уведомлениях

В следующих разделах описываются различные уведомления в рамках каждого типа уведомлений.

Об уведомлениях о происшествиях

В уведомлениях о происшествиях передаются подробные сведения о заражении (кто виноват, что произошло, где и когда это случилось), в том числе сведения об удалении вредоносной программы или вложения. Уведомления о происшествиях также можно использовать для отслеживания фильтрации. Ниже перечислены типы уведомлений о происшествиях.

Ошибка файла — отправляется, если при проверке обнаруживается файл с заданными параметрами (например, при обнаружении файла ExceedinglyNested (со слишком глубоким уровнем вложенности) или CorruptedCompressedFile (поврежденного сжатого файла)). Дополнительные сведения о типах происшествий, которые могут вызвать это уведомление, см. в разделе Отчеты о происшествиях.
Соответствие фильтру файлов — отправляется при совпадении параметров файла с условиями фильтра.
Совпадение с условием фильтра по ключевым словам — отправляется при совпадении с условиями фильтра по ключевым словам.
Совпадение с условиями фильтра домена отправителя — отправляется при совпадении с условиями фильтра домена отправителя.
Обнаружено соответствие условиям фильтра темы — отправляется при соответствии темы условиям фильтра темы.
Обнаружена программа-шпионотправляется при обнаружении программы-шпиона.
Обнаружен вирус — отправляется при обнаружении вируса.
Обнаружен вирус-червь — отправляется при обнаружении вируса-червя.
Ошибка проверки — отправляется при возникновении ошибки в процессе проверки. Дополнительные сведения о типах происшествий, которые могут вызвать это уведомление, см. в разделе Отчеты о происшествиях.

Об уведомлениях о событиях

Уведомления о событиях содержат сведения о функционировании и сбоях FPE. Эти уведомления включают уведомления о запуске проверки, сроке действия лицензий, обновлениях модулей и выборе модулей. Ниже перечислены типы уведомлений о событиях.

Запуск проверки — отправляется при запуске проверки.
Предупреждение лицензии — отправляется, когда срок действия лицензии на продукт подходит к концу.
Срок действия лицензии истек — отправляется при истечение срока действия лицензии на продукт.
Предупреждение о размере базы данных — отправляется, когда размер базы данных по происшествиям приближается к максимально допустимому. Дополнительные сведения см. в подразделе “Настройка предупреждения о размере базы данных по происшествиям” раздела Управление происшествиями.
Модуль обновлен — отправляется при успешном обновлении любого модуля.
Не удалось обновить модуль — отправляется, если при обновлении модуля произошла ошибка.
Обновление модуля недоступно — отправляется, если при обновлении модуля не удалось найти новые определения.
Критическая ошибка — отправляется при обнаружении FPE критической ошибки.
Изменение состояния системы на “зеленое” — отправляется, когда цвет точки мониторинга состояния системы меняется на зеленый.
Изменение состояния системы на “красное” — отправляется, когда цвет точки мониторинга состояния системы меняется на красный.
Изменение состояния системы на “желтое” — отправляется, когда цвет точки мониторинга состояния системы меняется на желтый.

Изменение для уведомлений адреса “От”

Для отправки уведомлений в программе FPE используются сообщения SMTP. Сообщение помещается в папку раскладки службы SMTP, после чего выполняется разрешение имени Exchange в службе каталогов Active Directory. По умолчанию для идентификации уведомлений используется профиль сервера: ForefrontServerProtection@имя_сервера.server. Профиль сервера можно изменить путем изменения значения реестра FromAddress.

Изменение значения реестра FromAddress

Откройте редактор реестра и перейдите к следующему разделу:

HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftForefront Server SecurityNotifications

Измените значение параметра FromAddress по умолчанию на необходимое имя отправителя. Допускается использовать буквы и цифры. Кроме того, имя может содержать знак «@» и точку, однако эти знаки не должны быть первым и последним знаками имени. Все недопустимые символы будут заменены знаком подчеркивания «_».

Чтобы изменение вступило в силу, необходимо перезапустить службы Microsoft Exchange и Microsoft Forefront Server Protection.

 

Настройка параметров ведения журнала

Для Forefront Protection 2010 for Exchange Server (FPE) можно настроить следующие параметры ведения журнала.

Включение и отключение ведения журнала происшествий
Настройка архивации почты при проверке передачи
Включение и отключение записи в журнал событий
Включение и отключение ведения журнала агента защиты от нежелательной почты
Включение и отключение ведения журнала происшествий, связанных с нежелательной почтой
Включение и отключение ведения журнала счетчиков производительности

Включение и отключение ведения журнала происшествий

Включить или отключить ведение журнала происшествий можно для каждого типа задания проверки (проверка передачи, проверка в реальном времени, проверка по расписанию, проверка по требованию). Включение ведения журнала происшествий позволяет более эффективно отслеживать производительность FPE. При этом отключение ведения журнала происшествий позволяет сэкономить место на диске при нехватке ресурсов (при условии, что для соответствующего задания проверки также отключен карантин). (Если для задания проверки отключено ведение журнала происшествий, но включен карантин, сведения о происшествиях будут записываться в базу данных, чтобы ПО FPE могло поместить на карантин соответствующий элемент. Однако такие элементы не будут отображаться в области Происшествия.)

Включение и отключение параметров ведения журнала происшествий

В окне Консоль администрирования Forefront Protection 2010 for Exchange Server переключитесь в представление Управление политиками и нажмите в разделе Глобальные параметры кнопку Дополнительные параметры.

В области Глобальные параметры — Дополнительные параметры в разделе Параметры ведения журнала включите или отключите с помощью флажков указанные ниже параметры ведения журнала происшествий.

Включить ведение журнала происшествий передачи — указывает, должна ли программа FPE включать ведение журнала происшествий для задания проверки передачи. Ведение журнала происшествий передачи включено по умолчанию. Чтобы отключить ведение журнала происшествий, обнаруженных при проверке передачи, снимите соответствующий флажок.
Включить ведение журнала происшествий в реальном времени — указывает, должна ли программа FPE включать ведение журнала происшествий для задания проверки в реальном времени. Ведение журнала происшествий для проверки в реальном времени включено по умолчанию. Чтобы отключить ведение журнала происшествий, обнаруженных при проверке в реальном времени, снимите соответствующий флажок.
Включить ведение журнала происшествий по расписанию — указывает, должна ли программа FPE включать ведение журнала происшествий для задания проверки по расписанию. Ведение журнала происшествий для проверки по расписанию включено по умолчанию. Чтобы отключить ведение журнала происшествий, обнаруженных при проверке по расписанию, снимите соответствующий флажок.
Включить ведение журнала происшествий по требованию — указывает, должна ли программа FPE включать ведение журнала происшествий для задания проверки по требованию. Ведение журнала происшествий для проверки по требованию включено по умолчанию. Чтобы отключить ведение журнала происшествий, обнаруженных при проверке по требованию, снимите соответствующий флажок.

Нажмите кнопку Сохранить.

Настройка архивации почты при проверке передачи

Можно указать, должна ли программа FPE сохранять копии входящих и исходящих сообщений для пограничных транспортных серверов и транспортных серверов-концентраторов, а также способ копирования. Параметр Архивировать передаваемую почту указывает, будут ли входящие и исходящие сообщения сохраняться в папки “In” и “Out”, расположенные в папке данных FPE. (Расположение папки данных по умолчанию см. в разделе Папки по умолчанию.) При сохранении в файл каждому сообщению присваивается имя, состоящее из года, дня, месяца, времени и трехзначного числа (например: 20090604102005020.eml). Это помогает администраторам и инженерам службы поддержки FPE выявлять и устранять проблемы. Архивировать почту можно как до, так и после проверки; эти параметры можно настроить, что позволяет сравнить исходные сообщения с сообщениями после проверки. Например, электронная почта, к которой применялась операция удаления, отличается от исходной почты после проверки.

Настройка архивации передаваемой почты

В окне Консоль администрирования Forefront Protection 2010 for Exchange Server переключитесь в представление Управление политиками и нажмите в разделе Глобальные параметры кнопку Дополнительные параметры.

В области Глобальные параметры — Дополнительные параметры в разделе Параметры ведения журнала выберите в раскрывающемся списке Архивировать передаваемую почту один из указанных ниже параметров.

Не архивировать — почта не архивируется. Это значение используется по умолчанию.
Перед проверкой — исходные сообщения архивируются перед проверкой на вредоносные программы.
После проверки — результирующие сообщения архивируются после проверки на вредоносные программы.
До и после проверки — сообщения архивируются до и после проверки на вредоносные программы.

Нажмите кнопку Сохранить.

Включение и отключение записи в журнал событий

Запись событий в журнал событий можно включить или отключить. Ведение журнала событий можно по отдельности включить и отключить для происшествий, модулей и операционных событий. Ведение журнала по умолчанию включено для всех событий.

 

Включение и отключение записи в журнал событий

В окне Консоль администрирования Forefront Protection 2010 for Exchange Server переключитесь в представление Управление политиками и нажмите в разделе Глобальные параметры кнопку Дополнительные параметры.

В области Глобальные параметры — Дополнительные параметры в разделе Параметры ведения журнала установите или снимите флажок Включить ведение журнала событий. Если этот флажок установлен (по умолчанию), то с помощью дополнительных флажков можно по отдельности включить или отключить указанные ниже параметры (по умолчанию они включены).

Происшествия — включить или отключить ведение журнала событий для происшествий.
Модули — включить или отключить ведение журнала событий для модулей.
Операционные — включить или отключить ведение журнала для всех остальных событий, например событий, связанных со сведениями о системе и работоспособностью.

Если флажок Включить ведение журнала событий снят, ведение журнала событий для происшествий, модулей и операционных событий приостанавливается.

Нажмите кнопку Сохранить.

Для вступления изменений в силу необходимо перезапустить службы Microsoft Exchange и Microsoft Forefront.

Включение и отключение ведения журнала агента защиты от нежелательной почты

В FPE можно включить или отключить ведение текстовых журналов, которые используются агентами защиты от нежелательной почты, в том числе агентами фильтра содержимого и фильтра подключений (то есть списка блокировки уведомлений о доставке Forefront).

Включение и отключение ведения журнала агента защиты от нежелательной почты

В окне Консоль администрирования Forefront Protection 2010 for Exchange Server переключитесь в представление Управление политиками и нажмите в разделе Глобальные параметры кнопку Дополнительные параметры.

В области Глобальные параметры — Дополнительные параметры в разделе Параметры ведения журнала установите (чтобы включить) или снимите (чтобы отключить) флажок Включить ведение журнала агента защиты от нежелательной почты и нажмите кнопку Сохранить. Ведение журнала агента защиты от нежелательной почты включено по умолчанию.

Дополнительные сведения о конфигурации защиты от нежелательной почты см. в разделе Использование фильтрации для защиты от нежелательной почты.

Включение и отключение ведения журнала происшествий, связанных с нежелательной почтой

В FPE можно включить или отключить ведение журнала происшествий, связанных с нежелательной почтой, в стандартной базе данных по происшествиям FPE.

При включении ведения журнала происшествий, связанных с нежелательной почтой, FPE выполняет запись в базу данных по происшествиям каждый раз, когда фильтр содержимого отклоняет или удаляет нежелательное сообщение. Это может привести к значительному увеличению размера базы данных по происшествиям, а также к снижению производительности сервера.

Включение и отключение ведения журнала происшествий, связанных с нежелательной почтой

В окне Консоль администрирования Forefront Protection 2010 for Exchange Server переключитесь в представление Управление политиками и нажмите в разделе Глобальные параметры кнопку Дополнительные параметры.

В области Глобальные параметры — Дополнительные параметры в разделе Параметры ведения журнала установите (чтобы включить) или снимите (чтобы отключить) флажок Включить ведение журнала происшествий, связанных с нежелательной почтой и нажмите кнопку Сохранить. По умолчанию ведение журнала происшествий, связанных с нежелательной почтой, отключено, то есть такие события в журнал не записываются. Другие параметры ведения журнала нежелательной почты задаются с помощью параметра Включить ведение журнала агента защиты от нежелательной почты.

Включение и отключение ведения журнала счетчиков производительности

Можно включить или отключить ведение журнала счетчиков производительности, отображаемых в системном мониторе.

Включение и отключение ведения журнала счетчиков производительности

В окне Консоль администрирования Forefront Protection 2010 for Exchange Server переключитесь в представление Управление политиками и нажмите в разделе Глобальные параметры кнопку Дополнительные параметры.

В области Глобальные параметры — Дополнительные параметры в разделе Параметры ведения журнала установите (чтобы включить) или снимите (чтобы отключить) флажок Включить счетчики производительности и нажмите кнопку Сохранить. Ведение журнала счетчиков производительности включено по умолчанию.

 

Резервное копирование и восстановление

В этом разделе описываются рекомендуемые процедуры резервного копирования и восстановления для Forefront Protection 2010 for Exchange Server (FPE):

Резервные копии
Подготовка файлов к резервному копированию
Резервное копирование файлов данных
Восстановление файлов данных

Резервные копии

Резервная копия — это копия данных, которая используется для восстановления потерянных данных после отказа системы. Используя соответствующие резервные копии, можно восстанавливать данные при различных сбоях, включая следующие:

ошибка носителя;
ошибки пользователя (например, удаление файла по ошибке);
сбои оборудования (например, повреждение дискового накопителя или потеря связи с сервером без возможности восстановления);
стихийные бедствия.

Дополнительные сведения о создании резервных копий и восстановлении данных для Microsoft Exchange Server 2007 см. на веб-странице Аварийное восстановление.

Подготовка файлов к резервному копированию

Чтобы сохранить копии самых последних версий файлов FPE, создайте пакетный файл, а затем создайте запланированное задание для обеспечения актуальных сведений о версии.

Поскольку действия по созданию запланированного задания различны для Windows Server 2008 и Windows Server 2003, выполните действия, соответствующие установленной версии.

После выполнения этих действий сервер будет настроен на автоматический экспорт версий файлов FPE.

Создание пакетного файла

Перейдите в проводнике к папке данных FPE. Расположение папки данных FPE по умолчанию для конкретной операционной системы см. в разделе Папки по умолчанию.

В меню Файл выберите команду Создать, а затем щелкните Текстовый документ.

Введите в качестве имени файла ForefrontDiagnostics.bat , нажмите клавишу ВВОД, а затем нажмите кнопку Да .

Щелкните правой кнопкой мыши файл ForefrontDiagnostics.bat и выберите команду Изменить.

Отредактируйте пакетный файл в Блокноте или аналогичном текстовом редакторе таким образом, чтобы он включал команду запуска средства диагностики Forefront Security (FSCDiag.exe) для получения сведений о файлах для FPE. Дополнительные сведения о средстве диагностики Forefront Security см. в разделе Использование программы диагностики для сбора сведений о продукте. Файл ForefrontDiagnostics.bat должен состоять из двух указанных ниже строк (при условии, что программа FPE установлена в папку по умолчанию):

Копировать код

cd drive:Program Files (x86)Microsoft Forefront Security for Exchange Server
FSCDiag.exe /c /ver Forefront

Если расположение файла FSCdiag.exe точно не известно, выполните операцию поиска, чтобы определить его и использовать для замены пути в примере BAT-файла.

В меню Файл выберите пункт Сохранить, после чего закройте текстовый редактор.

Дважды щелкните файл ForefrontDiagnostics.bat.

Откройте в проводнике папку Diagnostics, расположенную в папке журнала, которая была создана после запуска пакетного файла. Папка журнала находится в папке данных FPE. Примеры

c:Program Files (x86)Microsoft Forefront Security for Exchange ServerDatalogDiagnostics

Убедитесь, что в результате запуска пакетного файла был создан файл с именем ForefrontDiag-имя_серверадатавремя.zip.

Местозаполнители имя_сервера, дата и время представляют фактическое имя сервера, дату и время создания файла журнала.

Создание запланированного задания (на компьютере с ОС Windows Server 2008)

Нажмите кнопку Пуск, выберите пункт Администрирование и щелкните Планировщик заданий.

Если появится запрос на ввод пароля администратора либо на подтверждение, введите пароль или нажмите кнопку Продолжить .

В меню Действия выберите команду Создать простую задачу .

После запуска Мастера создания простой задачи введите имя расписания в поле Имя , введите описание расписания в поле Описание , а затем нажмите кнопку Далее . Например, можно ввести приведенные ниже данные.

Имя:Диагностика Forefront

Описание : Выполняет файл ForefrontDiagnostics.bat, чтобы обновить и сохранить обновленные сведения о версии файла для программы FPE.

На странице Триггер задачи выберите приемлемый интервал (например, Еженедельно), а затем нажмите кнопку Далее.

В зависимости от выбранного интервала установите дату и время начала, а также укажите данные о повторении, а затем нажмите кнопку Далее. Например, можно настроить приведенные ниже параметры.

Еженедельно

Начало ДД / ММ / ГГГГЧЧ : ММ : СС

Повторять каждые: X недель в: субботу

где ДД/ММ/ГГГГ означают день, месяц и год; ЧЧ:ММ:СС означают часы, минуты и секунды; а X означает количество недель.

На странице Действие нажмите кнопку Запустить программу , а затем нажмите кнопку Далее .

На странице Запуск программы нажмите кнопку Обзор , найдите созданный ранее файл ForefrontDiagnostics.bat , щелкните Открыть , а затем нажмите кнопку Далее .

Оставьте текстовые поля Добавить аргументы (необязательно)и Рабочая папка (необязательно)пустыми.

Проверьте параметры на странице Сводка, а затем нажмите кнопку Готово.

Создание запланированного задания (на компьютере с ОС Windows Server 2003)

Нажмите кнопку Пуск, выберите Панель управления, а затем дважды щелкните пункт Запланированные задания.

На странице Запланированные задания дважды щелкните пункт Добавить запланированное задание .

После того, как откроется Мастер планирования заданий , нажмите кнопку Далее .

На странице Выберите программу, которую нужно запускать нажмите кнопку Обзор .

В окне Выберите приложение, для которого следует составить расписание найдите, а затем дважды щелкните ранее созданный файл ForefrontDiagnostics.bat .

В поле Укажите имя для этого задания введите имя расписания, выберите приемлемый интервал, а затем нажмите кнопку Далее . Например, можно использовать указанные ниже имя и интервал для задания.

 

Диагностика Forefront

Еженедельно

На странице Выберите время и дату начала задания установите соответствующую дату и время начала, а затем нажмите кнопку Далее . Например, можно настроить приведенные ниже параметры.

Начало ЧЧ : ММ : СС

Каждые: X недель в: субботу

где ЧЧ:ММ:СС означают часы, минуты и секунды; а X означает количество недель.

На странице Введите имя и пароль пользователя укажите учетные данные администратора, у которого есть разрешения на доступ к серверу, а затем нажмите кнопку Далее.

На странице Запланировано выполнение следующего задания: имя расписания нажмите кнопку Готово.

Резервное копирование файлов данных

Чтобы гарантированно обеспечить возможность восстановления параметров конфигурации, всех помещенных на карантин элементов, а также сведений о происшествиях, связанных с вредоносными программами, нежелательной почтой и фильтрацией, скопируйте все файлы данных FPE в другое место. Для правильной работы этой процедуры требуется, чтобы версия продукта, данные которого копируются, совпадала с версией продукта, в которой впоследствии будут восстанавливаться данные.

Резервное копирование файлов данных

Создайте новую папку в новом расположении (например: C:BackupDatabase).

Откройте диспетчер служб и остановите все службы Microsoft Exchange и Microsoft Forefront Server Security.

Убедитесь, что база данных по происшествиям находится в состоянии “чистое отключение”. Для этого выполните в окне командной строки в каталоге Incidents, который находится в папке данных (сведения о расположении папки данных FPE по умолчанию см. в разделе Папки по умолчанию), следующую команду:

esentutl -mh incident.fssdb

Найдите в выходных данных команды раздел State. Если там указано “Clean Shutdown” (чистое отключение), можно продолжить работу. Если в этом разделе указано “Dirty Shutdown” (неправильное отключение), значит, при резервном копировании произошел сбой. В этом случае запустите и остановите службу Служба событий Microsoft Forefront Security. После этого выполните следующую команду:

esentutl -mh incident.fssdb

Скопируйте все содержимое папки данных, кроме файла ProgramLog.etl и папок Engines и EngineUpdateLocks, в папку, созданную на шаге 2 (например, в папку C:BackupDatabase).

Резервную копию файла ProgramLog.etl можно создать для просмотра сведений о предыдущей диагностике FPE, однако этот файл невозможно восстановить вместе с другими файлами папки данных FPE.

Восстановление файлов данных

После резервного копирования файлов данных FPE и восстановления системы в предыдущее состояние (в том числе восстановления сбойного сервера Exchange Server), восстановите файлы данных FPE, следуя приведенным ниже инструкциям.

Восстановить файлы данных на сервере, операционная система которого отличается от операционной системы сервера, на котором была создана резервная копия файлов, невозможно.

Восстановление файлов данных

Установите FPE и все исправления или пакеты обновления, которые были установлены на момент создания резервной копии.

Можно сравнить версии файлов с файлом VerForefront.csv, который находится в самом последнем наборе резервных копий ForefrontDiag.

На восстановленном сервере Exchange Server остановите все службы Microsoft Exchange и Microsoft Forefront Server Security.

Чтобы восстановить файлы конфигурации, файлы данных карантина, базу данных по происшествиям и все сопутствующие файлы, выполните указанные ниже действия.

Найдите и откройте в проводнике папку данных FPE. Расположение папки данных FPE по умолчанию для конкретной операционной системы см. в разделе Папки по умолчанию.

Переименуйте папку Quarantine в QuarantineOld.

Переименуйте папку Incidents в IncidentsOld.

Скопируйте все содержимое (включая вложенные папки) папки данных FPE, которая была скопирована во временную папку (например C:BackupDatabase), в папку данных FPE. Если появится соответствующий запрос, подтвердите перезапись всех файлов.

Удалите все содержимое папки Incidents (находится в папке данных FPE), кроме файла Incident.fssdb.

В диспетчере задач откройте вкладку Процессы и установите флажок Отображать процессы всех пользователей. Если процесс FSCConfigurationServer.exe запущен, завершите его.

Запустите все службы Microsoft Exchange.

Если для управления FPE используется Protection Manager, выполните указанные ниже действия.

На каждом сервере Exchange Server, на котором установлено ПО FPE, установите вручную компоненты мониторинга Protection Manager (агент Protection Manager и агент Operations Manager), чтобы обеспечить правильное взаимодействие Protection Manager с FPE. Дополнительные сведения см. в разделе “Развертывание компонентов мониторинга Protection Manager на сервере FPE” статьи Интеграция Forefront Security 2010 for Exchange Server с ПО Stirling.

Заново разверните политики FPE с помощью Protection Manager. Дополнительные сведения см. разделе Работа с группами и политиками руководства по эксплуатации Protection Manager.


Комментарии

Добавить комментарий

Больше на ITMSFT Group

Оформите подписку, чтобы продолжить чтение и получить доступ к полному архиву.

Читать дальше