[Exch2k] Kan ExchangeIS niet starten met virusscan aan - Serversoftware en clouddiensten

donderdag 17 oktober 2002 22:32

Acties:

Topicstarter

Ik heb hier een server staan, Windows 2000 SP2, met daarop Exchange 2000 SP2.

Deze heeft tot voorkort vol tevredenheid gedraaid met Symantec AVF for Exchange, icm Norton Antivirus Corporate.
Echter, sinds een 'crash' (foute reboot, tijd geleden, weet helaas niet meer wat er aan het handje was) wilde Exchange niet meer opstarten.

Wat bleek nou, ExchangeIS service was niet gestart, en dan begin je weinig. In eventlog kwam ik deze melding tegen:

code:

Event Type: Error
Event Source:   Service Control Manager
Event Category: None
Event ID:   7024
Date:       17-10-2002
Time:       20:15:01
User:       N/A
Computer:   
Description:
The Microsoft Exchange Information Store service 
terminated with service-specific error 0.

Dus ik ren naar eventid.net en krijg daar het volgende uit:

Adrian Grigorof:
Error code: 4294966781: Normally antivirus software related. AV misidentifies log files as infected files. FIX: Exclude all EXCHSRVR directories from AV scans. See Q262375. Note: You may also see this error if the log files get out of sequence for some reason other than AV software (like deleting or renaming a few log files).

Is niet helemaal mijn error code, maar toch maar geprobeerd. Alle paden van C:\Program Files\Exchsrv uit mijn NAV gehaald.

Het probleem was nog niet opgelost, dus ik zocht verder.

Q285116 leverde ook geen verbetering,
Q298429 is niet van toepassing (Ik heb maar 1 policy, en ik heb nooit Ex 5.5 gehad)

maar toen uiteindelijk kwam er meer hoop in de zaak:

Q316650 / Q319754 leverde namelijk wel een 'oplossing' (hoewel de eventids ongelijk zijn), in zoverre dat ExchangeIS weer kon starten, alleen de Antivirus disabled was. Het betrof:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\Virus Scanning
Enabled: 0/1 _{(hexadecimal)}

Ik had een trial van Symantec AVF, dus dacht dat het aanvankelijk daar aan lag, maar nu heb ik GFI MailSecurity versie 9 (full) geinstalleerd, en nog steeds hetzelfde probleem.

Met GFI MS heb ik:

Installed, toen kwam de registerwaarde Enabled bij Antivirus op 1 te staan, en wilde ExchangeIS niet starten
De hele key VirusScan hernoemd naar VirusScan2, en opnieuw GFI MS geinstalleerd
De rechten van de registerkey, de file die in de String 'Library' staat gecheckt of die bestond (C:\Program Files\GFI\MailSecurity\gfiavexc.dll), en wat de rechten daar waren. Deze staan allemaal op System.
Gecheckt of de service ExchangeIS op Local System stond (bij de Properties -> Log On), en dat staat hij.
Gezocht op Google Groups, daaruit kwam o.a. dat ik misschien een evaluatie versie van Exchange had, dat is niet het geval.

En nu werkt het nog steeds niet. Ik vrees dat het ergens in de Virusscan API zit van Exchange zelf, maar ik heb geen idee hoe ik dit zou kunnen fixen of wat ik er anders nog aan zou kunnen doen. Heeft iemand nog ideeen?

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

donderdag 17 oktober 2002 22:52

Acties:

elevator

Officieel moto fan :)

Is niet helemaal mijn error code, maar toch maar geprobeerd. Alle paden van C:\Program Files\Exchsrv uit mijn NAV gehaald.

Heb je ook je store zelf geexclude? Dus zeg maar je M:\ (iirc), en waar de rest van je store staat?

btw.

Ik had een trial van Symantec AVF, dus dacht dat het aanvankelijk daar aan lag, maar nu heb ik GFI MailSecurity versie 9 (full) geinstalleerd, en nog steeds hetzelfde probleem.

Wat zegt Symantec danwel GFI's support over dit probleem? Lijkt me dat je niet lekker kan evalueren als hun software niet naar behoren werkt (of juist meteen je conclusie hebt

)

donderdag 17 oktober 2002 22:59

Acties:

blackd

Topicstarter

elevator schreef op 17 oktober 2002 @ 22:52:

Heb je ook je store zelf geexclude? Dus zeg maar je M:\ (iirc), en waar de rest van je store staat?

Nee, niet specifiek, alleen, hiervoor heeft het met dezelfde config gedraaid, dus ik vermoed dat het, aangezien zowel Symantec AVF als GFI niet willen, het aan MS Exchange zelf ligt.

btw.
Wat zegt Symantec danwel GFI's support over dit probleem? Lijkt me dat je niet lekker kan evalueren als hun software niet naar behoren werkt (of juist meteen je conclusie hebt )

Denk dat GFI / Symantec het probleem dus niet is, maar iets rottigs in MS Exchange zelf, een file fout of, wat BackSlash32 net zei, iets met logfiles out of sequence, maar daar begin ik niet aan, aangezien hier stond dat je beter geen logfiles kon deleten

Ik ga nu btw even Diagnostig Logging van Virus Scan hoog zetten, kijken of daar wat te beleven valt. Heeft geen zin

Even in de KB van Symantec gekeken:

Results for: +event +7024
No results were found for your search.
Try changing some of the words in your query.

Results for: +exchangeis
No results were found for your search.
Try changing some of the words in your query.

Results for: +can't +start +information +store
Known General Scan and VSAPI issues in Symantec AntiVirus/Filtering 3.0 for Microsoft Exchange -> Niets relevants.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zondag 20 oktober 2002 17:06

Acties:

blackd

Topicstarter

Even het topic een rotschop geven..

Is er anders een manier om Exchange dan wel de virusscan API opnieuw te installeren zonder alle mails en dergelijke kwijt te raken?

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zondag 20 oktober 2002 18:53

Acties:

elevator

Officieel moto fan :)

Die 7024 die je krijgt is vanuit de SCM. Is er geen error melding van Exchange zelf (bv. in de applicatie log)?

zondag 20 oktober 2002 19:02

Acties:

blackd

Topicstarter

Event Type: Error
Event Source: MSExchangeIS
Event Category: Virus Scanning
Event ID: 9581
Date: 20-10-2002
Time: 18:59:15
User: N/A
Computer:
Description:
Error code -2147467259 returned from virus scanner initialization routine. Virus scanner was not loaded.

http://www.eventid.net/display.asp?eventid=9581&source=
Niks dus

Event Type: Error
Event Source: MSExchangeIS
Event Category: General
Event ID: 9577
Date: 20-10-2002
Time: 18:59:15
User: N/A
Computer:
Description:
Unexpected error 0x80004005 occurred in "VSIF::EcLoadLibrary".

http://www.eventid.net/display.asp?eventid=9577&source=
Ook niks

Event Type: Error
Event Source: MSExchangeIS
Event Category: General
Event ID: 9564
Date: 20-10-2002
Time: 18:59:15
User: N/A
Computer:
Description:
Error 0x80004005 starting the Microsoft Exchange Information Store.
Failed to init VSERVER.

http://www.eventid.net/display.asp?eventid=9564&source=
Ook niks

Juist, ik ga nog even verder zoeken, bedankt voor de tip

Na een eventid.net zoektocht de urls erbij gezet, nu ff googlen

Edit: Ik ga nu even dit proberen: http://support.microsoft....spx?scid=kb;en-us;Q319754

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

zondag 20 oktober 2002 22:07

Acties:

Arno

PF5A

Heb je de standaard dingen als eseutil (of edbutil, ik vergeet steeds hoe dat kreng heet

) al gedraaid in recover mode

Je kunt ook proberen Ex2ksp3 te installeren (en evt w2ksp3)

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

maandag 21 oktober 2002 00:38

Acties:

Brahiewahiewa

boelkloedig

Traag schreef op 20 oktober 2002 @ 22:07:
Heb je de standaard dingen als eseutil (of edbutil, ik vergeet steeds hoe dat kreng heet ) al gedraaid in recover mode

Je kunt ook proberen Ex2ksp3 te installeren (en evt w2ksp3)

ESEUTIL is van Exchange 2000, EDBUTIL is van Exchange 5.5. 'k Zou overigens zeeeer terughoudend zijn in het draaien van die tool; z'n store wil best wel starten alleen niet als de virus scanner aan staat. Betekent dus dat er niks aan z'n edb files mankeert en dat ESEUTIL alleen maar dingen stuk kan maken.

Aan je errors tezien zit er inderdaad iets in de versies van je anti virus gebeuren. Eerst W2KSP3 en daarna E2KSP3 is de moeite van het proberen waard.
Als dat niet helpt, zou'k voor de veilige weg kiezen: tweede exchange server installeren; alle mailboxen en PF's moven naar die server; originele server rebuilden "from scratch" en Exchange setup draaien met de /disasterrecovery optie. Daarna alle mailboxen en PF's terug moven. Kun je gewoon overdag doen; behalve een beetje slome reacties van de server hoeven je eindgebruikers er verder niks van te merken. De procedure wordt wat ingewikkelder als je exchange server tevens ook domain controller is.

QnJhaGlld2FoaWV3YQ==

maandag 21 oktober 2002 00:44

Acties:

blackd

Topicstarter

Win2k SP3 is zojuist geinstalleerd, Ex 2k SP3 gaat vanavond in de download queue.
Overigens is mijn Exchange server tevens Domain Controller, dus dan is de procedure moeilijker

Overigens kon ik eseutil niet vinden op mijn Exch CD, alleen esefile

Nouja, ik ga er morgen mee verder klooien, en dan zal ik jullie op de hoogte houden.

Wat ik dus zeker nog ga doen:
- Kijken of SP3 Win2k effect heeft gehad
- Exch 2k SP3 downloaden en installeren
- eseutil proberen, alhoewel, mijn database is niet corrupt, denk ik dus dat deze optie vervalt.

I'll keep you posted

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

donderdag 24 oktober 2002 10:03

Acties:

Arno

PF5A

Hmmm...

De Exchange 2000 server bij ons op de zaak heeft nu ook exact dit probleem

Alleen is het niet AVAPI related

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

donderdag 24 oktober 2002 10:09

Acties:

blackd

Topicstarter

Ik heb inmiddels SP3 van zowel Win2k als Exch2k geinstalleerd, alleen het mocht niet baten.

Alleen ik heb nu erg weinig tijd om het probleem op te lossen, bovendien staan er nu mails bij XS4ALL in de queue die niet aankomen

Meer troubles dus

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023