Přehled serveru Exchange Server 2003 a antivirového softwaru

Překlady článku Překlady článku
ID článku: 823166 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek obsahuje přehled různých typů programů pro vyhledávání virů, které se obvykle používají se serverem Microsoft Exchange Server 2003. V článku jsou uvedeny výhody, nevýhody a rady pro řešení potíží s různými typy skenerů. Tento článek nepopisuje řešení pro filtrování protokolu SMTP (SMTP), která se obvykle instalují na jiný server, než je počítač se serverem Exchange 2003.

Skenery na úrovni souborů

Skenery na úrovni souborů se používají často a mohou při použití se serverem Exchange 2003 způsobovat nejvíce problémů. Skenery na úrovni souborů mohou být rezidentní v paměti nebo vyžádané:
  • Označení rezidentní v paměti se používá pro antivirový software provádějící kontrolu na úrovni souborů, který je vždy načten do paměti. Kontroluje všechny soubory používané na pevném disku a v paměti počítače.
  • Označení vyžádané se používá pro antivirový software provádějící kontrolu na úrovni souborů, který můžete konfigurovat tak, aby soubory na pevném disku skenoval na základě ručního spuštění, nebo podle plánu. Existují verze antivirového softwaru, které automaticky spustí vyžádané prohledávání po aktualizaci definic virů a zajistí tak, že všechny soubory budou zkontrolovány pomocí nejnovějších definic.
Používáte-li skenery na úrovni souborů se serverem Exchange 2003, může dojít k následujícím potížím:
  • Skenery na úrovni souborů prohledávají soubor při jeho použití nebo v naplánovaných intervalech a mohou uzamknout nebo umístit do karantény protokol serveru Exchange nebo databázový soubor, zatímco se server Exchange 2003 pokouší tento soubor použít. Toto chování může způsobit závažné selhání serveru Exchange 2003 a také vygenerovat chyby -1018.
  • Skenery na úrovni souborů neposkytují ochranu proti virům šířeným e-mailem, například proti viru Melissa.

    Poznámka: Virus Melissa je virus v makru aplikace Microsoft Word, který se může sám rozšiřovat pomocí e-mailových zpráv. Virus odešle nesprávné e-mailové zprávy na adresy, které najde v osobních adresářích poštovních klientů aplikace Microsoft Outlook. Podobné viry mohou zničit data.
Ze skenerů na úrovni souborů typu vyžádaný i typu rezidentní v paměti vyjměte následující složky:
  • Databáze a soubory protokolu serveru Exchange ve všech skupinách úložišť. Ve výchozím nastavení jsou tyto soubory umístěny ve složce Exchsrvr\Mdbdata.
  • Soubory MTA serveru Exchange ve složce Exchsrvr\Mtadata.
  • Další soubory protokolu, například adresář Exchsrvr\název_serveru.log.
  • Složku virtuálního serveru Exchsrvr\Mailroot.
  • Pracovní složku používanou k ukládání souborů TMP datových proudů, které slouží k převádění zpráv. Ve výchozím nastavení je to složka Exchsrvr\Mdbdata, ale umístění lze konfigurovat. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
    822936 Postup zpráv do místní fronty pro doručení je velmi pomalý (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
  • Dočasnou složku, která se používá společně s nástroji pro údržbu v režimu offline, například Eseutil.exe. Ve výchozím nastavením je tato složka umístěním, ze kterého se spouští soubor EXE, je však možné konfigurovat, odkud bude soubor při spuštění nástroje spouštěn.
  • Soubory služby SRS (Site Replication Service) ve složce Exchsrvr\Srsdata.
  • Systémové soubory služby IIS (Microsoft Internet Information Services) ve složce %kořenová_složka_systému%\System32\Inetsrv.

    Poznámka: Je možné, že budete chtít ze skenerů na úrovni souborů typu vyžádaný i typu rezidentní v paměti vyřadit celou složku Exchsrvr.
  • Komprimační složku Internetové informační služby (IIS) 6.0 používanou společně s aplikací Outlook Web Access 2003. Ve výchozím nastavení je komprimační složka ve službě IIS 6.0 umístěna v cestě %kořenová_složka_systému%\IIS Temporary Compressed Files.

    Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
    817442 Výsledkem antivirové kontroly komprimačního adresáře služby IIS může být soubor o velikosti 0 bajtů (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
  • U clusterů disk Quorum a složku %Winnt%\Cluster.
  • Všechny složky antivirového programu pro systém zasílání zpráv.
  • Složku Exchsrvr\Conndata.
Ze skenerů na úrovni souborů typu vyžádaný i typu rezidentní v paměti vyřaďte složku obsahující soubor kontrolního bodu (CHK).

Poznámka: Soubor CHK může být prohledáván i v případě, že přesunete databáze a soubory protokolu serveru Exchange do nových umístění a tyto složky vyřadíte. Další informace o událostech, ke kterým může dojít, pokud je prohledáván soubor CHK, získáte v následujících článcích znalostní báze Microsoft Knowledge Base:
253111 Pokud je databázové službě serveru Exchange Server odepřen přístup pro zápis do vlastních souborů EDB nebo do souboru CHK, jsou zaznamenány chybné události (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
176239 Databázi nelze spustit, cyklické protokolování odstranilo soubor protokolu příliš brzy (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Skenery rozhraní MAPI

První generace skenerů pro vyhledávání virů, které zahrnují agenta serveru Exchange, je založena na rozhraní MAPI. Tyto skenery se přihlásí k jednotlivým poštovním schránkám pomocí rozhraní MAPI a pak je kontrolují na známé viry.

Skener rozhraní MAPI má v porovnání se skenerem na úrovni souborů následující výhody:
  • Skener rozhraní MAPI může vyhledávat viry šířené prostřednictvím e-mailů, například virus Melissa.
  • Skener rozhraní MAPI se nedostává do konfliktů se soubory protokolu nebo databázovými soubory serveru Exchange.

Skener rozhraní MAPI má následující nevýhody:
  • Je možné, že skener MAPI nezkontroluje napadenou e-mailovou zprávu dříve, než uživatel tuto zprávu otevře. Jestliže skener nezjistí předem, že je e-mailová zpráva napadena, nezabrání uživateli v otevření této zprávy.
  • Skener rozhraní MAPI nemůže kontrolovat odchozí zprávy.
  • Skener rozhraní MAPI nerozpozná filtr ukládání jediné instance (Single Instance Storage) serveru Exchange. Proto může několikrát kontrolovat jednu zprávu, pokud je tato zpráva uložena ve více poštovních schránkách. Proto může prohledávání pomocí skeneru rozhraní MAPI trvat delší dobu.
Vzhledem k tomu, že skener rozhraní MAPI může vyhledávat viry šířené prostřednictvím e-mailu, představuje lepší možnost než skener na úrovni souborů. K dispozici jsou však i vhodnější možnosti, než je skener rozhraní MAPI, které jsou popsány dále v tomto článku.

Skenery rozhraní API pro vyhledávání virů

Rozhraní API (Application Programming Interface) pro vyhledávání virů se také označuje jako rozhraní VAPI (Virus API), rozhraní AVAPI (Antivirus API) nebo rozhraní VSAPI (Virus Scanning API).

Rozhraní Virus Scanning API 1.0 bylo poprvé zahrnuto v aktualizaci Microsoft Exchange Server 5.5 Service Pack 3 (SP3) a představovalo standardní řešení až do vydání serveru Exchange 2000. Toto rozhraní bylo mnohokrát zdokonaleno, aby byl zvýšen výkon serveru Exchange Server. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
248838 Dostupné opravy pro službu Information Store serveru Exchange Server 5.5 následující po aktualizaci Service Pack 3 (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Aktualizace Exchange 2000 Server Service Pack 1 (SP1) zahrnuje rozhraní Virus Scanning API 2.0. Rozhraní API pro vyhledávání virů 2.0 není u serveru Exchange Server 5.5 podporováno. Rozhraní API pro vyhledávání virů 1.0 i rozhraní API pro vyhledávání virů 2.0 podporují prohledávání na vyžádání.

Server Exchange 2003 nyní zahrnuje rozhraní Virus Scanning API 2.5. Toto rozhraní zahrnuje funkce předchozího rozhraní – Virus Scanning API 2.0 – spolu s následujícími zdokonaleními:
  • Zdokonalené rozhraní API pro vyhledávání virů umožňuje spuštění produktů dodavatelů antivirového softwaru na serverech Exchange 2003, na kterých se nenacházejí rezidentní poštovní schránky serveru Exchange (například na serverech výchozí brány nebo na serverech předmostí).
  • Rozhraní Virus Scanning API 2.5 umožňuje produktům dodavatelů antivirového softwaru odstraňovat zprávy a odesílat zprávy odesílateli. Přidané zprávy o stavu virů umožňují klientům lépe stanovit stav napadení konkrétní zprávy.
S žádostí o další informace o aktualizacích se obraťte na výrobce antivirového softwaru.

Pokud používáte skener rozhraní API pro vyhledávání virů a klient se pokusí otevřít zprávu, bude provedeno porovnání, aby bylo zajištěno, že text i příloha zprávy byly zkontrolovány pomocí aktuálního souboru s definicemi virů. Pokud aktuální soubor s definicemi virů obsah nezkontroloval, bude odpovídající část zprávy odeslána produktu dodavatele antivirového softwaru za účelem prohledání. Až poté bude tato část zprávy odeslána klientovi. Klientský počítač může používat obvyklou klientskou aplikaci rozhraní MAPI nebo klientskou aplikaci založenou na protokolu IP (Internet Protocol), například protokol POP3 (Post Office Protocol version 3), aplikaci Microsoft Outlook Web Access (OWA) a protokol IMAP4 (Internet Message Access Protocol, Version 4rev1).

Rozhraní API pro vyhledávání virů verze API 2.0 a 2.5 zpracovávají veškerá data textu zprávy a přílohy pomocí jedné fronty. Vyžádané položky odeslané do této fronty jsou označeny nejvyšší prioritou. U serveru Exchange 2003 je tato fronta nyní zpracována pomocí řady podprocesů a položky s nejvyšší prioritou mají vždy přednost. Výchozí počet podprocesů je dvojnásobek počtu_procesorů plus 1. To umožňuje odeslat produktu dodavatele antivirového softwaru více položek současně. Podprocesy klienta také nejsou vázány na hodnoty časového limitu pro čekání na uvolnění položek. Poté, co jsou položky zkontrolovány a označeny jako bezpečné, obdrží podproces upozornění, že je položka k dispozici. Ve výchozím nastavení čeká klientský podproces tři minuty na upozornění na dostupnost požadovaných dat, než dojde k vypršení časového limitu.

Rozhraní API pro vyhledávání virů verze 2.0 a 2.5 obsahují funkci aktivního prohledávání zpráv. Rozhraní API pro vyhledávání virů 1.0 kontroluje informace v příloze zprávy pouze v případě, že je použita. V rozhraních API pro vyhledávání virů 2.0 a 2.5 jsou položky odesílány do fronty běžného úložiště informací při odeslání do úložiště informací. Každá z těchto položek je ve frontě označena nízkou prioritou, aby nedocházelo ke konfliktům při kontrole položek s vysokou prioritou. Po zkontrolování všech položek s vysokou prioritou začne Rozhraní API pro vyhledávání virů verze 2.0 nebo 2.5 kontrolovat položky s nízkou prioritou. Pokud se klient pokusí položku použít v době, kdy je zařazena do fronty položek s nízkou prioritou, bude priorita položky dynamicky aktualizována na vysokou. Ve frontě s nízkou prioritou může být současně maximálně 30 položek a položky jsou zpracovávány v pořadí, ve kterém byly do fronty uloženy.

Rozhraní API pro vyhledávání virů verze 2.0 a 2.5 zahrnují zdokonalený proces prohledávání na pozadí. V Rozhraní API pro vyhledávání virů 1.0 je prohledávání na pozadí spravováno pomocí jednoho připojení k tabulce příloh. Rozhraní API pro vyhledávání virů 1.0 pak odešle přílohy, které nebyly zkontrolovány aktuálním produktem dodavatele antivirového softwaru nebo souborem definice, přímo do knihovny DLL antivirového programu. Jednotlivým úložištím soukromých a veřejných informací je přidělen jeden podproces, který provede toto prohledávání na pozadí. Poté co podproces dokončí prohledávání tabulky příloh, vyčká na restartování procesu úložiště informací. Až poté provede další prohledávání. V Rozhraních API pro vyhledávání virů verze 2.0 a 2.5 jednotlivé databáze zasílání zpráv MDB také obdrží jeden podproces pro správu procesu prohledávání na pozadí. U serveru Exchange 2003 však proces prohledávání na pozadí prochází skupinu složek, které tvoří poštovní schránky jednotlivých uživatelů. Pokud jsou nalezeny položky, které nebyly zkontrolovány, jsou tyto položky odeslány programu dodavatele antivirového softwaru a proces prohledávání pokračuje. Produkty dodavatelů antivirového softwaru mohou také vynutit spuštění prohledávání na pozadí pomocí sady klíčů registru.

Funkcí, jejíž přidání k rozhraní Virus Scanning API 1.0 bylo žádáno nejčastěji, je poskytování podrobností o zprávách, aby správci serveru Exchange mohli sledovat výskyt virů, určit, jak se do organizace dostaly, a zjistit, kteří uživatelé jsou jimi ovlivněni. Tato funkce byla přidána do Rozhraní API pro vyhledávání virů 2.0, protože prohledávání již není založeno přímo na tabulce příloh.

Čítače programu pro sledování výkonu rozhraní API pro vyhledávání virů (Virus Scanning API Performance Monitor) lze použít ke sledování výkonu rozhraní pro vyhledávání virů a k lepšímu řešení potíží v rozhraních Virus Scanning API verze 2.0 a 2.5. Pomocí těchto čítačů může správce zjistit, jaké množství informací je prohledáváno a jak dlouho toto prohledávání trvá. Tato funkce umožní správci přesněji škálovat servery.

Rozhraní API pro vyhledávaní virů verze 2.0 a 2.5 obsahují také protokolování událostí, které je specifické pro rozhraní API pro vyhledávání virů. Mezi protokolované události patří:
  • načítání a uvolňování knihoven DLL dodavatele,
  • úspěšné prohledávání položek,
  • viry uložené v úložišti informací,
  • neočekávané chování rozhraní API pro vyhledávání virů.

Skenery založené na technologii ESE

Skenery založené na technologii ESE (například některé verze programu Antigen) používají rozhraní mezi úložištěm informací a modulem Extensible Storage Engine (ESE), který není společností Microsoft podporován. Používáte-li tento typ softwaru, riskujete poškození databáze a ztrátu dat, pokud by se v implementaci tohoto softwaru vyskytly chyby.

Skener založený na technologii ESE během instalace změní službu Exchange Information Store tak, že je závislá na službě produktu dodavatele antivirového softwaru. Tak je zajištěno, že produkt dodavatele antivirového softwaru bude spuštěn před spuštěním služby Exchange Information Store. Během procesu spuštění služba produktu antivirového softwaru zkontroluje příslušné veze softwaru pro server Exchange 2003 a příslušné verze souborů. Pokud je nalezena nekompatibilita, zakáže produkt dodavatele antivirového softwaru spuštění produktu, povolí spuštění služby Exchange Information Store bez antivirové ochrany a upozorní správce.

Pokud je skener založený na technologii ESE úspěšně spuštěn, je verze souboru Ese.dll společnosti Microsoft dočasně přejmenována na Xese.dll a původní soubor je nahrazen verzí souboru Ese.dll produktu dodavatele antivirového softwaru. Po načtení verze souboru Ese.dll produktu dodavatele antivirového softwaru je verze společnosti Microsoft přejmenována zpět na Ese.dll a služba Exchange Information Store může dokončit proces spuštění.

Zákazníci, kteří se obrátí na služby odborné pomoci společnosti Microsoft, mohou být požádáni o zakázání softwaru Antigen společnosti Sybari, aby mohly být lépe definovány potíže. Po správném diagnostikování základní příčiny problému však mohou zákazníci software opět povolit. Společnosti Microsoft a Sybari potvrzují, že se jedná o platný krok při řešení potíží, který umožní zjištění příčiny problému. Chcete-li kontaktovat společnost Sybari Software, navštivte následující web této společnosti:
http://www.sybari.com

Další články

Další informace o softwaru pro vyhledávání virů používaném se serverem Exchange najdete v následujících článcích znalostní báze Microsoft Knowledge Base:
285667 Principy rozhraní Virus Scanning API .0 v aktualizaci Exchange 2000 Service Pack 1 (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
298924 Problémy způsobené zálohou nebo kontrolou jednotky M serveru Exchange 2000 (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
245822 Doporučené postupy pro řešení potíží se serverem Exchange Server s nainstalovaným antivirovým softwarem
253111 Pokud je databázové službě serveru Exchange Server odepřen přístup pro zápis do vlastních souborů EDB nebo do souboru CHK, jsou zaznamenány chybné události (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
176239 Databázi nelze spustit, cyklické protokolování odstranilo soubor protokolu příliš brzy (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Nejnovější informace o virech a výstrahách zabezpečení a o dodavatelích softwaru na ochranu proti virům najdete na následujících webech společnosti Microsoft a jiných výrobců:

Microsoft
http://www.microsoft.com/cze/
ICSA

Společnost ICSA Labs, divize společnosti TruSecure Corporation, poskytuje služby zajišťující zabezpečení Internetu.
http://www.icsalabs.com
CERT Coordination Center

Centrum CERT Coordination Center je součástí programu Survivable Systems Initiative organizace Software Engineering Institute. Jedná se o centrum pro výzkum a vývoj financované z federálního rozpočtu, sponzorované Ministerstvem obrany USA a provozované univerzitou Carnegie Mellon University.
http://www.cert.org
Computer Incident Advisory Capability

Organizace Computer Incident Advisory Capability poskytuje telefonickou technickou pomoc a informace pro weby Ministerstva energetiky USA, u kterých dochází k událostem ohrožujícím zabezpečení počítačů.
http://www.ciac.org/ciac/index.html
McAfee
http://www.mcafee.com/us/default.asp
Trend Micro
http://www.antivirus.com
Computer Associates
http://ca.com/virusinfo
Symantec (Mail Security for Exchange, Symantec Antivirus a Norton AntiVirus)
http://www.symantec.com

Další informace

Společnost Microsoft se vám snaží usnadnit získání technické podpory poskytnutím informací o kontaktech na jiné výrobce. Tyto kontaktní informace se mohou bez upozornění změnit. Společnost Microsoft neručí za správnost těchto informací o kontaktech na jiné výrobce.

Produkty jiných výrobců popisované v tomto článku vyrábějí společnosti, které jsou nezávislé na společnosti Microsoft. Společnost Microsoft neposkytuje žádnou záruku (implicitně předpokládanou ani jinou) týkající se výkonu a spolehlivosti těchto produktů.

Vlastnosti

ID článku: 823166 - Poslední aktualizace: 24. ledna 2006 - Revize: 9.2
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Klíčová slova: 
kbinfo KB823166

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com