Jean Carlos Bormanieri :: Website

Após configurar o envio de emails utilizando a console de Administração do MOM 2005, o seguinte erro começou a aparecer na console:

Failed to send SMTP message. The message could not be sent to the SMTP server. The transport error code was 0×80040217. The server response was not available hr=-2147220975

Esse erro acontece porque o MOM 2005 por padrão tenta enviar os emails utilizando como autenticação o protocolo NTLM. Para resolver este problem, é necessário criar uma chave no registro que habilita o MOM a enviar emails de notificação sem usar autenticação NTLM. Para isso, seguir os passos abaixo:

1. Abrir o regedit;
2. Localizar a chave HKEY_LOCAL_MACHINE\Software\Mission Critical Software\OnePoint\Configurations\<Configuration group name>\Operations\Consolidator
3. Criar um novo item chamado SendSmtpAnonymous;
4. Modificar o valor dele de 0 para 1;

Após isso, seu MOM conseguirá enviar os emails de notificações.

Como sabemos, o período de suporte ao Windows 2000 acabou. Ou seja, caso surja algum novo bug ou necessidade de implementação a este sistema e você o estiver usando, dançou.
Mas um momento. Você ainda possui algum servidor em produção rodando o Windows 2000 Server? Vergonha para você (rs).

Bom,  como não existe um mundo perfeito, talvez você possa ter alguma necessidade extrema e ainda ter em seu ambiente um Windows 2000 Server rodando. Em nossa realidade e nossa cultura, as empresas ainda pesam muito o custo X benefício entre fazer as migrações dos sistemas operacionais de servidores. Se hoje eles tem um servidor que atende muito bem a necessidade, para quê investir na instalação de um novo sistema operacional? Nós profissionais de TI sabemos da importância que um ambiente atualizado demanda, porém, ficamos a mercê dos administradores das empresas que nem sempre tem essa visão do negócio.

Esses dias, estava analisando a Console do Operador do Forefront Client Security e me deparei com a seguinte mensagem de erro:

Forefront Error Code: 0x8007007f Error description: The specified procedure could not be found.

Esse erro estava sendo remetido de um servidor rodando um sistema operacional Windows 2000 Server. Após uma investigação mais detalhada (e algumas pesquisas no Google é claro), encontrei essa página.

Aparentemente, em um dos updates de definições que a Microsoft fez para o FCS, comprometeu o forefront executado em ambientes com Windows 2000 de carregar e executar alguns drivers de filtros necessários para a execução do serviço de Antimalware. Com isso, este ambiente não estava conseguindo executar o serviço adequadamente e consequentemente submetia informações de erros ao servidor do Forefront.

Para corrigir a situação é necessário:

1. Remover o client do serviço de Antimalware: para isso, executar o comando:
   msiexec.exe /x {A22989EE-AE7A-42F8-A0C0-9C99CFB644FB} /qn
2. Depois, é necessário acessar o site http://catalog.update.microsoft.com/v7/site/Home.aspx e procurar pelo update 2394433. Após fazer o download dele, executar esse novo instalador no ambiente afetado.
3. Com isso será instalado novamente o serviço do Antimalware. Agora é só fazer uma nova atualização dos arquivos de definição e o problema está resolvido.

Após a implantação do Forefront, analisando os logs de eventos do Windows, pude identificar que as seguintes mensagens de erros ocorriam todos os dias de madrugada:

Verificando o evento de Error para obter maiores detalhes:

Após fazer uma pesquisa encontrei um post que explica essa situação.

Aparentemente, a conta que está levantando o SQL Server e está executando o pakage do DTS não está tendo acesso ao diretório necessário. Para corrigir isso fazer o seguinte:

1. Abrir o SQL Server Management Studio
2. Conectar a seu servidor
3. Expandir Management->Legacy->Data Transformation Services
4. Botão direito em  ‘Microsoft Forefront Client Security’ e escolher ‘Open’
5. Clicar no menu ‘Package’ e escolher ‘Properties’
6. Navegar até a aba ‘Global Variables’ e verificar o valor do campo ‘ScriptFileDirectory’.
7. Agora abra este diretório usando o Windows Explorer e atribua direitos de leitura e gravação para a conta que esta subindo os serviços do SQL Server (no meu caso o NETWORK SERVICE) neste diretório
8. Pronto, o problema esta corrigido.
9. Para forçar a execução da tarefa, volte ao SQL Server Management Studio
10. Expandir SQL Server  Agent -> Jobs
11. Clicar com o botão direito em Microsoft Forefront Client Security e escolher Start Job at Step

A ferramenta Microsoft Forefront Client Security é a solução Microsoft para proteção contra vírus e spywares. Ela provê uma administração centralizada do ambiente, facilitando assim o trabalho dos administradores de rede.

Estou participando de um grande projeto de implantação dessa tecnologia  e estou estudando a fundo esta ferramenta. Já trabalhei com outras soluções de antivírus corporativo, dentre elas, Trend, Kaspersky e Symantec. Definitivamente, não existe uma solução perfeita. Cada uma delas tem seus pontos fortes e fracos e cabe a você identificar qual a melhor solução para seu ambiente. Em se tratando do Forefront (FCS) a grande vantagem é de ser um produto Microsoft, e como outros produtos da empresa, foca muito a integração entre todos os produtos. Você receberá as atualizações através do seu servidor WSUS, você fará seu deployment através de GPOs criadas pela console do FCS, etc.. Soma-se a isso o fato de contar com uma grande quantidade de documentação disponível, marca registrada dos produtos Microsoft.

Estarei montando uma série de posts aqui neste site informando algumas dúvidas pelas quais passei ao implantar essa ferramenta e as alternativas para corrigi-las.

Como primeiro caso, vou tratar de resolver um problema que na minha concepção é uma falha extremamente grave. Infelizmente, nativamente, a ferramenta não possue nenhum mecanismo que impeça os usuários que possuem privilégios de administradores de pararem os serviços do FCS, ficando desta maneira desprotegidos. Outras soluções de Antivírus permitem que o administrador da rede configure uma senha para isso e somente com essa senha o usuário pode parar a proteção em sua máquina.
Sabemos que os usuários são leigos e muitos, ao perceberem que seu equipamento fica lento, acabam culpando o antivírus pela lentidão e então fecham a aplicação.

Para corrigir essa situação, podemos criar uma GPO que impeça os usuários de parar os serviços do FCS. Para isso:

01: Em um servidor abra a ferramenta Group Policy Management.

02:  Edite uma GPO aplicada a seus usuários (no meu caso a Default Domain Policy, porém você pode criar uma nova). Para isso, clique com o botão direito em cima da GPO e selecione Edit

03: Agora navegue até o caminho Computer Configuration \ Windows Settings \ Security Settings \ System Services

04: Agora para cada um dos 3 serviços do FCS (Microsoft Forefront Client Security Antimalware  Service, Microsoft Forefront Client SecurityManagement Service e Microsoft Forefront Client Security State Assessment Service) clique duas vezes no serviço. Habilite a opção Define this policy setting e marque a opção Automatic. Clique no botão Edit Security e selecione o grupo Administrators (que é o grupo de administradores locais). Desmarque a permissão de Start, stop and pause para este grupo. Adicionalmente, como boa prática, você pode incluir um determinado grupo com privilégios de poder fazer essas alterações, no meu caso, incluí o grupo JEANBLU\Domain Admins. Após isso confirme as alterações clicando duas vezes no botão OK.

05: Após fazer essas mudanças nos três serviços, como podemos observar na imagem abaixo, a segurança para esses três serviços foi definida. Agora, após a GPO ser aplicada nas estações (você pode forçar isso executando o comando gpupdate /force) os usuários não poderão mais parar os serviços do FCS.

06: Desta maneira, os usuários ainda poderão fechar o aplicativo que fica no systray do windows, mas mesmo assim eles continuarão protegidos.