VNX: CAVA-fel VC: 3: 32: Servern "x.x.x.x" returnerade felet "FAIL" när filen kontrollerades

Medan viruskontrollen körs visas ett fel i loggarna som anger att VC-tjänsten inte kunde kontrollera den:

2016-03-29 11:38:44: VC: 3: 32: Servern "x.x.x.x" returnerade felet "FAIL" när filen "\root_vdm_id\mount_path\filename.ext" kontrollerades

Meddelandet "FAIL" visas när en genomsökningsbegäran öppnas (VC-tjänsten på dataöverföraren skickar en begäran till CAVA-servrarna) och när CAVA-servern försöker öppna den hittas inte filen.  Det innebär att filen raderades innan den kunde genomsökas.  Det finns några scenarier där detta kan inträffa:

• Ett sätt att göra detta är om filen var en cookie, en temporär fil eller en låsfil.  Microsoft Office, till exempel, skapar temporära filer som följer formatet ~$<original_filename.xxxx>.  Dessa filer försvinner normalt när filen sparas eller stängs, och om detta sker snabbt kan filen försvinna innan den har en chans att skannas, vilket leder till ett FAIL-meddelande i dataöverföringsloggen.  De filnamn som misslyckas med genomsökningar identifierar vanligtvis detta som orsaken till problemet.
• Ett annat sätt som detta kan inträffa på är om filen har en särskild "disposition".  I SMB och SMB2 kan användaren ange en disposition "ta bort vid stängning" när en fil öppnas.  Om filen som ska genomsökas öppnas av en annan användare med den här dispositionsuppsättningen tas filen bort innan den kan genomsökas, vilket leder till ett FAIL-meddelande i dataöverföringsloggarna.  Det här alternativet kan ses i paketspårningar genom att titta på SMB-anropen "Create" eller "SetInfo", men kommer att anges av användaren som gör borttagningen, och förmodligen inte CAVA-servrarna.  Detta kan göra det svårt eftersom normal trafik måste övervakas (inte bara AV-servern) för att avgöra vem som ställer in flaggan.

Den bästa lösningen är att stoppa det som tar bort filen (de externa användarna som tar bort filen).  Detta kan innebära att du inaktiverar användningen av temporära filer på kontoret eller lagrar andra temporära filer eller cookies i en lokal katalog i stället för en delad.  Om detta inte kan göras ändrar du viruschecker.conf för att utesluta dessa typer av filer från att kontrolleras genom att ändra raden "excl" för att utesluta ~$*.* (för Office-filer), *.tmp eller något annat tillägg som kan orsaka dessa fel.

viruschecker.conf:
CIFSserver=<CIFS-server på dataöverförare>
addr=<konfigurerade CAVA-servrar>
excl=~$*.*:*.accdb:*.laccdb:*.ldb:*.mdb:*.pst:*.tmp:????????
masks=*.*
shutdown=viruschecking

ytterligare resurser:
https://support.microsoft.com/en-us/kb/211632 (Beskrivning av hur temporära filer skapas i Word)
https://wiki.wireshark.org/SMB2/SMB2_FILE_DISPOSITION_INFO (SMB2_FILE_DISPOSITION_INFO adresser "ta bort vid stängning") funktion