XADM: Informationen zur Virus Scanning API 2.0 in Exchange 2000 Server SP1

Dieser Artikel beschreibt die Erweiterungen der in Exchange 2000 Server Service Pack 1 (SP1) enthaltenen Antiviren-API für Exchange-Administratoren und unabhängigen Softwareherstellern (Independent Software Vendors, ISVs). Der Artikel enthält Informationen zu neuen Funktionen und geändertem Verhalten sowie Vorschläge zur Problembehandlung.

Überblick

Die in Exchange 2000 Server SP1 enthaltenen Erweiterungen zur Antiviren-API verdeutlichen das Engagement von Microsoft für den Schutz der Messaging-Umgebung seiner Kunden. Diese neuen Funktionen mit der Bezeichnung Virus Scanning API 2.0 ( VS-API genannt) stellen eine Erweiterung der Funktionen der Antiviren-API 1.0 dar. Die folgende kurze Liste zeigt die in Exchange 2000 Server SP1 verfügbaren Funktionen:

• Nachrichtendetails
• Systemeigene MIME/MAPI-Inhaltsüberprüfung
• Proaktive Überprüfung
• Prioritätsbasierte Warteschlange
• Multithread-Warteschlangenverarbeitung
• Konfigurationsoptionen für einzelne Messaging-Datenbanken
• Erweiterte Hintergrundüberprüfung
• Ereignisprotokollierung
• Antiviren-API-spezifische Leistungsindikatoren

Funktionsweise der Virus Scanning API 2.0

Virus Scanning API 2.0 weist drei Hauptbereiche der Überprüfung auf:

• Überprüfung auf Abruf
• Proaktive Überprüfung
• Hintergrundüberprüfung

Wie Antiviren-API 1.0 unterstützt auch Virus Scanning API 2.0 die Überprüfung auf Abruf. Wenn Clients versuchen, über einen Internetprotokoll-basierten Client wie POP3 (Post Office Protocol 3), OWA (Outlook Web Access) oder IMAP4 (Internet Message Access Protocol 4) oder über einen konventionellen MAPI-Client auf Nachrichten zuzugreifen, wird ein Vergleich durchgeführt, um sicherzustellen, dass Nachrichtentext und -anlagen (falls vorhanden) unter Verwendung der aktuellen Virensignaturdatei überprüft wurden. Wenn der Inhalt nicht anhand der aktuellen Drittanbieter- oder Signaturdatei überprüft wurde, wird die entsprechende Nachrichtenkomponente vor der Weiterleitung an den Client an die Drittanbieter-Antivirensoftware übermittelt. Bei der Virus Scanning API 2.0 wurde dieser Prozess gegenüber der Implementierung bei Antiviren-API 1.0 erheblich erweitert. Bei Virus Scanning API 2.0 werden alle Daten zu Nachrichtentext und -anlagen in einer einzigen Warteschlange verarbeitet. Elemente, die als "Auf Abruf"-Elemente an diese Warteschlange übermittelt werden, werden mit hoher Priorität eingereiht. Diese Warteschlange wird nun von mehreren Threads bedient (die Standardanzahl der Threads beträgt 2 * Anzahl der Prozessoren + 1), wobei Elemente mit hoher Priorität immer bevorzugt werden. Dies ermöglicht die gleichzeitige Übermittlung von mehreren Elementen an die Drittanbieter-Software. Außerdem sind Client-Threads nicht länger an "Zeitlimit"-Werte gebunden, die auf die Freigabe von Elementen warten. Nachdem ein Element überprüft und als sicher markiert wurde, wird der Client-Thread benachrichtigt, dass das Element verfügbar ist. Der Client-Thread wartet standardmäßig bis zu drei Minuten auf die Benachrichtigung über die Verfügbarkeit der angeforderten Daten, bevor das Zeitlimit erreicht ist.

Eine neue Funktion bei Virus Scanning API 2.0 ist die proaktive Überprüfung von Nachrichten. Bei Antiviren-API 1.0 wurden Nachrichtenanlagen nur überprüft, wenn auf sie zugegriffen wurde. Bei Virus Scanning API 2.0 werden Elemente, die im Informationsspeicher ankommen, an eine gemeinsame Informationsspeicher-Warteschlange übermittelt. Jedes dieser Elemente erhält eine niedrige Priorität in der Warteschlange, damit die Überprüfung dieser Elemente nicht mit der Überprüfung der Elemente mit hoher Priorität kollidiert. Wenn alle Elemente mit hoher Priorität überprüft worden sind, beginnt Virus Scanning API 2.0 mit der Überprüfung der Elemente mit niedriger Priorität. Die Priorität der Elemente wird dynamisch auf hohe Priorität aktualisiert, wenn ein Client versucht, auf das Element in der Warteschlange mit niedriger Priorität zuzugreifen. In der Warteschlange mit niedriger Priorität können sich maximal 30 Elemente befinden. Die Reihenfolge der Elemente basiert auf dem FIFO-Prinzip (First-in-First-out).

Die dritte Verbesserung im Bereich der Virusprüfung stellt die Hintergrundüberprüfung dar. Bei Antiviren-API 1.0 besteht die Hintergrundüberprüfung aus einem einzelnen Durchlauf durch die Anlagentabelle, worauf Anlagen, die nicht anhand der aktuellen Drittanbieter- oder Signaturdatei überprüft wurden, direkt an die DLL der Drittanbieter-Antivirensoftware übermittelt werden. Jeder der privaten und öffentlichen Informationsspeicher erhält einen Thread für die Durchführung dieser Hintergrundüberprüfung, und nachdem der Thread den Durchlauf durch die Anlagentabelle abgeschlossen hat, wartet er auf einen Neustart des Informationsspeicher-Prozesses, bevor ein zweiter Durchlauf erfolgt. Bei Virus Scanning API 2.0 erhält jede Messaging-Datenbank weiterhin einen Thread für die Durchführung der Hintergrundüberprüfung, allerdings durchläuft der Prozess nun alle Ordner, aus denen sich das Postfach eines Benutzers zusammensetzt. Wenn Elemente, die nicht überprüft wurden, angetroffen werden, werden diese an die Drittanbieter-Software übermittelt, und der Überprüfungsprozess wird fortgesetzt. Drittanbieter von Antivirensoftware könnten auch mithilfe eines Satzes von Registrierungsschlüsseln eine Hintergrundüberprüfung veranlassen.

Die am häufigsten geforderte Funktionserweiterung gegenüber Antiviren-API 1.0 betrifft die Möglichkeit, Nachrichtendetails abzurufen, um Exchange-Administratoren in die Lage zu versetzen, die Existenz von Viren nachzuverfolgen und zu bestimmen, wie die Viren in das System eingedrungen sind und welche Benutzer betroffen sind. Diese Funktion wurde zu Virus Scanning API 2.0 hinzugefügt, weil die Überprüfung nicht länger direkt auf der Anlagentabelle basiert.

Um die Problembehandlung bei der Antiviren-API zu verbessern, verwendet Exchange 2000 Server SP1 neue Antiviren-API-Leistungsindikatoren, mit deren Hilfe Exchange-Administratoren die Leistung der Antiviren-API überwachen können. Anhand dieser Leistungsindikatoren können die Administratoren bestimmen, wieviele Informationen und wie häufig diese Informationen überprüft werden, um die Server genauer an den Bedarf anzupassen.

Bei der letzten neuen Funktion handelt es sich um die speziell an die Antiviren-API angepasste Ereignisprotokollierung. Zu den neuen Ereignissen gehören die Ladung und Entladung von Drittanbieter-DLLs, die erfolgreiche Überprüfung von Elementen, im Informationsspeicher gefundene Viren und unerwartetes Verhalten in der Antiviren-API.

Weitere Informationen zu Registrierungsschlüsseln für die Virus Scanning API 2.0 finden Sie im folgenden Artikel der Microsoft Knowledge Base: Weitere Informationen zu neuen Ereignissen in der Virus Scanning API 2.0 finden Sie im folgenden Artikel der Microsoft Knowledge Base:

Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.