VNX: CAVA-Fehler VC: 3: 32: Server 'x.x.x.x' hat beim Überprüfen der Datei den Fehler "FAIL" zurückgegeben

Während die Virenprüfung ausgeführt wird, wird in den Protokollen ein Fehler angezeigt, der darauf hinweist, dass der VC-Service sie nicht überprüfen konnte:

2016-03-29 11:38:44: VC: 3: 32: Der Server 'x.x.x.x' hat beim Überprüfen der Datei '\root_vdm_id\mount_path\filename.ext' den Fehler "FAIL" zurückgegeben

Die Meldung "FAIL" wird angezeigt, wenn eine Scananforderung geöffnet wird (der VC-Service auf dem Data Mover sendet eine Anforderung an die CAVA-Server) und wenn der CAVA-Server versucht, sie zu öffnen, wird die Datei nicht gefunden.  Dies bedeutet, dass die Datei gelöscht wurde, bevor sie gescannt werden konnte.  Es gibt einige Szenarien, in denen dies passieren kann:

• Eine Möglichkeit, wie dies geschieht, ist, wenn es sich bei der Datei um ein Cookie, eine temporäre Datei oder eine Sperrdatei handelt.  Microsoft Office erstellt beispielsweise temporäre Dateien im Format ~$<original_filename.xxxx>.  Diese Dateien verschwinden normalerweise, wenn die Datei gespeichert oder geschlossen wird, und wenn dies schnell geschieht, kann die Datei verschwinden, bevor sie gescannt werden kann, was zur FAIL-Meldung im Data Mover-Protokoll führt.  Die Dateinamen, bei denen Scans fehlschlagen, identifizieren dies in der Regel als Ursache des Problems.
• Eine andere Möglichkeit, wie dies geschehen kann, ist, wenn die Datei eine spezielle "Disposition" enthält.  In SMB und SMB2 kann der Nutzer beim Öffnen einer Datei die Disposition "Beim Schließen löschen" festlegen.  Wenn die Datei, die zum Scannen verwiesen wird, von einem anderen Nutzer mit diesem Dispositionssatz geöffnet wird, wird die Datei gelöscht, bevor sie gescannt werden kann, was zur FAIL-Meldung in den Data Mover-Protokollen führt.  Diese Option ist in Paketablaufverfolgungen durch SMB-Aufrufe "Create" oder "SetInfo" zu sehen, wird aber vom Nutzer festgelegt, der das Löschen vornimmt, und wahrscheinlich nicht von den CAVA-Servern.  Dies kann die Sache schwierig machen, da der normale Datenverkehr überwacht werden muss (nicht nur der Virenschutzserver), um festzustellen, wer das Flag setzt.

Die beste Lösung besteht darin, das zu stoppen, was die Datei löscht (die externen Nutzer, die die Datei löschen).  Dies kann bedeuten, dass Sie die Verwendung von temporären Dateien in Office deaktivieren oder andere temporäre Dateien oder Cookies in einem lokalen Verzeichnis anstelle eines freigegebenen Verzeichnisses speichern.  Wenn dies nicht möglich ist, ändern Sie viruschecker.conf, um diese Dateitypen von der Prüfung auszuschließen, indem Sie die Zeile 'excl' ändern, um ~$* auszuschließen.* (für Office-Dateien), *.tmp oder eine andere Erweiterung, die diese Fehler verursachen kann.

viruschecker.conf:
CIFSserver=<CIFS-Server auf Data Mover>
addr=<konfigurierte CAVA-Serverexcl=~$*.*:*.accdb:*.laccdb:*.ldb:*.mdb:*.pst:*.tmp:????????
>
masks=*.*
shutdown=viruscheck

Zusätzliche Ressourcen:
https://support.microsoft.com/en-us/kb/211632 (Beschreibung, wie Word temporäre Dateien erstellt)
https://wiki.wireshark.org/SMB2/SMB2_FILE_DISPOSITION_INFO (SMB2_FILE_DISPOSITION_INFO adressiert 'beim Schließen löschen')