Ikhtisar Exchange Server 2003 dan peranti penangkap lunak antivirus

Artikel ini berisi ikhtisar berbagai jenis program pemindaian virus yang biasanya digunakan dengan Microsoft Exchange Server 2003. Daftar ini keuntungan, kerugian dan pemecahan masalah pertimbangan untuk berbagai jenis scanner. Artikel ini tidak Simple Mail Transfer Protocol (SMTP) penyaringan solusi yang menggambarkan biasanya diinstal pada server yang berbeda daripada Exchange 2003 komputer.

Tingkat file scanner

Tingkat file scanners sering digunakan, dan mereka mungkin yang paling bermasalah untuk digunakan dengan Exchange 2003. Tingkat file scanner mungkin menempati kehabisan memori atau on-demand:

• Menempati kehabisan memori mengacu pada bagian dari peranti penangkap lunak antivirus tingkat file yang di-load dalam kehabisan memori sepanjang waktu. Memeriksa semua file yang digunakan pada hard disk dan dalam kehabisan memori komputer.
• On-demand mengacu pada bagian dari peranti penangkap lunak antivirus tingkat file yang dapat Anda mengkonfigurasi untuk memindai file pada hard disk secara manual atau pada jadwal. Ada versi peranti penangkap lunak antivirus yang memulai pemindaian on-demand secara otomatis setelah masuk virus diperbarui untuk memastikan bahwa semua file scan dengan tanda tangan terbaru.

Masalah berikut ini mungkin muncul ketika Anda menggunakan tingkat file scanner dengan Exchange 2003:

• Tingkat file scanner memindai file ketika file digunakan atau di selang dijadwalkan, dan scanner ini dapat mengunci atau karantina Exchange log atau sebuah file database sementara Exchange 2003 mencoba untuk menggunakan file. Perilaku ini mungkin Penyebab kegagalan parah dalam Exchange 2003 dan mungkin juga menghasilkan-1018 kesalahan.
• Tingkat file scanner tidak memberikan perlindungan terhadap e-mail virus seperti Melissa virus.
  
  Catatan Melissa virus adalah virus makro Microsoft Word yang dapat menyebarkan itu sendiri melalui pesan e-mail. Virus mengirim e-mail tidak patut pesan ke alamat penyuratan yang ditemukan di buku alamat penyuratan Pribadi pada Microsoft Klien e-mail Outlook. Serupa virus dapat menyebabkan data destruction.

Mengecualikan map berikut dari kedua on-demand-tingkat file scanner dan kehabisan memori penduduk tingkat file scanner:

• Exchange database dan file log di semua penyimpanan kelompok. secara asali, ini terletak di map Exchsrvr\Mdbdata.
• Exchange MTA file dalam Exchsrvr\Mtadata folder.
• File log tambahan seperti Exchsrvr\server_name.log direktori.
• Map virtual server Exchsrvr\Mailroot.
• Folder kerja yang digunakan untuk menyimpan streaming .tmp file yang digunakan untuk pesan konversi. secara asali, folder ini adalah Exchsrvr\Mdbdata, tapi lokasi yang dapat dikonfigurasi. Untuk informasi lebih lanjut, klik berikut nomor artikel untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
  822936  (http://support.microsoft.com/kb/822936/ ) Pesan aliran untuk lokal Antrian pengiriman sangat lambat
• Map sementara yang digunakan dalam hubungannya dengan pemeliharaan offline utilitas seperti Eseutil.exe. secara asali, folder ini adalah lokasi di mana berkas .exe dijalankan dari, tetapi Anda dapat mengkonfigurasi di mana Anda Jalankan file dari ketika Anda menjalankan utilitas.
• Situs layanan replikasi (SRS) file dalam Exchsrvr\Srsdata folder.
• Layanan Informasi Internet Microsoft (IIS) sistem berkas dalam %SystemRoot%\System32\Inetsrv folder.
  
  Catatan Anda mungkin ingin mengecualikan seluruh Exchsrvr folder dari kedua tingkat file on-demand scanner dan menempati kehabisan memori tingkat file scanner.
• Layanan Informasi Internet (IIS) 6.0 kompresi folder yang digunakan dengan Outlook Web Access 2003. secara asali, kompresi folder dalam IIS 6.0 terletak di %systemroot%\IIS sementara file terkompresi.
  
  Untuk informasi lebih informasi, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
  817442  (http://support.microsoft.com/kb/817442/ ) Antivirus pemindaian IIS kompresi direktori dapat mengakibatkan 0-byte file
• Untuk kelompok, disk kuorum dan %Winnt%\Cluster folder.
• Folder antivirus program pesan.
• Map Exchsrvr\Conndata.

Mengecualikan folder yang berisi file pos pemeriksaan (.chk) dari kehabisan memori penduduk tingkat file scanner dan on-demand tingkat file scanner.

Catatan Bahkan jika Anda memindahkan Exchange database dan file log ke baru lokasi dan mengecualikan folder tersebut, berkas .chk masih akan dipindai. Untuk informasi lebih lanjut tentang apa yang dapat terjadi jika berkas .chk di-scan, klik nomor artikel berikut untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft: Banyak tingkat file scanner sekarang mendukung pemindaian proses. Ini dapat juga mempengaruhi Exchange. Oleh karena itu, Anda harus mengecualikan proses berikut dari tingkat file scanner:

• CDB.exe
• Cidaemon.exe
• Store.exe
• Emsmta.exe
• Mad.exe
• Mssearch.exe
• Inetinfo.exe
• W3wp.exe

MAPI scanner

Generasi pertama pemindai virus yang mencakup pertukaran agen berbasis MAPI. Scanner ini melakukan log masuk MAPI ke setiap kotak pesan dan kemudian memindai virus yang diketahui.

Pemindai MAPI memiliki berikut keuntungan atas pemindai berbasis berkas:

• Pemindai MAPI dapat memindai e-mail virus seperti Melissa virus.
• Pemindai MAPI tidak mengganggu Exchange log atau file database.

Pemindai MAPI memiliki kelemahan berikut:

• Pemindai MAPI tidak dapat memindai pesan e-mail yang terinfeksi sebelum pengguna membuka pesan email. Pemindai MAPI tidak mencegah pengguna dari pembukaan pesan e-mail yang terinfeksi jika scanner tidak pertama mendeteksi pesan e-mail yang terinfeksi.
• Pemindai MAPI tidak memindai pesan keluar.
• Pemindai MAPI tidak mengenali pertukaran satu Contoh penyimpanan filter. Oleh karena itu, pemindai dapat memindai pesan tunggal banyak kali jika pesan yang sama ada di beberapa kotak pesan. Oleh karena itu, MAPI pemindai mungkin memakan waktu lebih lama untuk melakukan pemindaian.

Karena pemindai MAPI dapat mendeteksi virus e-mail, pilihan yang lebih baik daripada tingkat file scanner. Namun, ada pilihan yang lebih baik tersedia dari MAPI scanner, dan ini akan dijelaskan nanti dalam hal ini artikel.

API Pemindaian pemindai virus

Virus Scanning Application Programming Interface (API) juga disebut sebagai Virus API (VAPI), Antivirus API (AVAPI), atau Virus Scanning API (VSAPI).

Virus Scanning API 1.0 diperkenalkan di Microsoft Exchange Server 5.5 Service Pack 3 (SP3) dan merupakan standar hingga dirilisnya Exchange 2000. Banyak perbaikan telah dibuat untuk Virus Scanning API 1.0 untuk meningkatkan kinerja dengan Exchange Server. Untuk informasi lebih lanjut, klik nomor artikel berikut ini untuk melihat artikel di Microsoft Basis Pengetahuan:
Exchange 2000 Server Service Pack 1 (SP1) termasuk pemindaian Virus API 2.0. Virus Scanning API 2.0 tidak didukung dalam Exchange Server 5.5. Virus Scanning API 1.0 dan Virus Scanning API 2.0 kedua mendukung on-demand scanning.

Exchange 2003 sekarang termasuk Virus Scanning API 2.5. Virus Scanning API 2,5 mencakup fitur sebelumnya Virus Pemindaian API 2.0 selain untuk perbaikan berikut:

• Peningkatan virus scanning API memungkinkan antivirus vendor produk untuk menjalankan pada server Exchange 2003 yang tidak memiliki penduduk Exchange kotak pesan (misalnya, server gateway atau Jembatan server).
• Virus Scanning API 2,5 memungkinkan antivirus vendor produk menghapus pesan dan mengirim pesan kepada pengirim, dan tambahan virus status pesan memungkinkan klien untuk lebih baik menunjukkan status infeksi tertentu pesan.

Hubungi pabrik peranti penangkap lunak antivirus Anda untuk informasi lebih informasi tentang update.

Ketika Anda menggunakan API Pemindaian pemindai virus dan klien mencoba untuk membuka pesan, perbandingan dibuat untuk memastikan bahwa badan pesan dan lampiran telah discan oleh virus saat ini berkas tanda tangan. Jika berkas masuk virus yang saat ini telah tidak memindai konten, komponen sesuai pesan yang dikirim ke antivirus yang vendor produk untuk pemindaian sebelum komponen pesan tersebut dirilis ke klien. Klien dapat menggunakan klien MAPI konvensional atau Internet Protocol (IP)-berbasis klien seperti Post Office Protocol versi 3 (POP3), Microsoft Outlook Web Access (OWA), dan Protokol Akses Pesan Internet Versi 4rev1 (IMAP4).

Pemindaian API 2.0 virus dan Virus Scanning API 2.5 memproses semua pesan tubuh dan lampiran data dengan menggunakan satu antrian. On-demand item yang diserahkan ke antrian ini ditandai sebagai prioritas tinggi. Pada Exchange 2003, antrian ini sekarang dilayani oleh serangkaian benang, dan prioritas tinggi item selalu diutamakan. Nomor default benang adalah 2 kali number_of_processors ditambah 1. Hal ini membuat mungkin untuk beberapa item yang akan diserahkan kepada produk antivirus vendor pada saat yang sama. Juga, klien benang tidak terikat pada nilai-nilai time-out yang menunggu untuk item akan dirilis. Setelah item dipindai dan ditandai aman, klien benang diberitahu bahwa item tersedia. secara asali, klien Thread menunggu hingga tiga menit untuk diberitahu ketersediaan data yang diminta sebelum terjadi waktu habis.

Pemindaian API 2.0 virus dan Virus Scanning API 2,5 termasuk pesan berbasis proaktif pemindaian fitur. Dalam Virus Scanning API 1.0, informasi lampiran pesan dipindai hanya karena digunakan. Di 2.0 API Pemindaian Virus dan Virus Scanning API 2.5, item diserahkan untuk informasi umum menyimpan antrian seperti mereka diserahkan ke informasi toko. Masing-masing item ini menerima prioritas rendah dalam antrian, jadi bahwa ini item tidak mengganggu pemindaian prioritas tinggi item. Ketika semua prioritas tinggi item telah discan, Virus Scanning API 2.0 atau Virus Pemindaian API 2,5 dimulai untuk memindai barang-barang prioritas rendah. Prioritas item secara dinamis upgrade ke prioritas tinggi jika klien mencoba untuk menggunakan item sementara item dalam antrian prioritas rendah. Maksimum 30 item dapat ada di waktu yang sama di antrian prioritas rendah, dan isi dari antrian ini adalah ditentukan untuk pertama kali, pertama keluar dasar.

Pemindaian API 2.0 virus dan Virus Scanning API 2,5 termasuk latar peningkatan scanning proses. Dalam Virus Scanning API 1.0, latar belakang pemindaian dilakukan dengan membuat satu melewati tabel atak lampiran. Virus Scanning API 1.0 kemudian mengajukan lampiran yang tidak telah discan oleh produk antivirus vendor saat ini atau tanda tangan file langsung ke antivirus dynamic link library (DLL). Masing-masing swasta informasi toko dan toko informasi publik menerima satu benang untuk melakukan scan latar belakang ini. Setelah thread selesai lulus tabel atak lampiran, thread menunggu restart proses toko informasi sebelum melakukan lulus lain. Dalam Virus Scanning API 2.0 dan pemindaian API 2.5, Virus MDB setiap pesan Database masih menerima satu benang untuk melakukan latar belakang proses pemindaian. Namun, pada Exchange 2003, latar belakang scanning proses menavigasi serangkaian folder yang membuat setiap pengguna kotak surat. Seperti item yang tidak telah discan yang dihadapi, mereka diserahkan ke antivirus yang vendor produk, dan proses pemindaian berlanjut. Vendor peranti penangkap lunak antivirus produk mungkin juga kekuatan awal scan latar belakang oleh cara satu set bukti kunci registri.

Fitur yang paling diminta untuk tambahan Virus Scanning API 1.0 adalah salah satu yang menyediakan rincian pesan sehingga yang pertukaran Administrator dapat melacak keberadaan virus, menentukan bagaimana virus menembus organisasi, dan menentukan pengguna yang terpengaruh. Ini fitur ditambahkan pada Virus Scanning API 2.0 karena pemindaian tidak lagi langsung didasarkan dari tabel atak lampiran.

API Pemindaian Virus Penghitung Monitor kinerja dapat digunakan untuk melacak performa virus pemindaian API dan untuk meningkatkan dalam 2.0 API Pemindaian Virus dan Virus Pemindaian API 2.5. Dengan menggunakan Counter ini, administrator dapat menentukan bagaimana banyak informasi yang dipindai dan seberapa cepat informasi yang sedang scan. Ini membantu administrator untuk lebih akurat skala server.

Virus Scanning API 2.0 dan Virus Scanning API 2.5 juga termasuk acara log yang bersifat khusus untuk pemindaian API virus. Peristiwa yang masuk meliputi:

• Vendor dll dimuat dan diturunkan.
• Item yang sukses memindai.
• Virus yang terletak di informasi toko.
• Perilaku tak terduga dalam API Pemindaian Virus.

Berbasis ESE scanner

Berbasis ESE scanner seperti beberapa versi Antigen menggunakan antarmuka antara penyimpanan informasi dan Extensible, penyimpanan mesin (ESE) yang didukung oleh Microsoft. Bila Anda menggunakan peranti penangkap lunak jenis ini, Anda menjalankan risiko database kerusakan dan kehilangan data jika ada kesalahan dalam pelaksanaan peranti penangkap lunak.

Selama instalasi, pemindai berbasis ESE perubahan pertukaran Server informasi Store layanan sehingga bergantung pada spesifik layanan. Ini akan memastikan bahwa layanan dimulai sebelum Exchange Server Penyimpanan informasi layanan dimulai. Selama proses startup, pemindai 's layanan memeriksa sesuai versi peranti penangkap lunak dan Exchange Server, dan versi baru file yang sesuai. Jika setiap ketidakcocokan ditemukan, Antigen Software menonaktifkan sendiri, memungkinkan penyimpanan informasi untuk memulai tanpa Perlindungan antivirus, dan kemudian akan memberitahu administrator.


Ketika Berbasis ESE scanner mulai berhasil, versi Microsoft Ese.dll file sementara diubah namanya menjadi Xese.dll, dan versi Antigen ESE.dll file menggantikan berkas asli. Setelah versi Antigen ESE.dll file dibuka, versi Microsoft dinamai kembali ke Ese.dll dan Exchange Server informasi store diaktifkan untuk menyelesaikan startup yang proses.


Pelanggan yang menghubungi Layanan Dukungan Produk Microsoft Layanan mungkin diminta untuk menonaktifkan Antigen layanan untuk membantu mengidentifikasikan masalah, tetapi tamu bebas untuk mengaktifkan peranti penangkap lunak Antigen lagi setelah akar menyebabkan masalah dengan benar didiagnosis.

Bacaan selanjutnya

Untuk informasi lebih lanjut tentang peranti penangkap lunak pemindaian virus yang digunakan dengan Exchange, klik artikel berikut nomor ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft: Untuk informasi terbaru tentang peringatan virus dan keamanan dan tentang vendor peranti penangkap lunak proteksi virus, kunjungi Microsoft berikut dan pihak ketiga Web sites:

MicrosoftICSA

ICSA Labs, sebuah divisi dari TruSecure Corporation, menyediakan Layanan jaminan keamanan Internet.CERT koordinasi pusat

Pusat koordinasi CERT adalah bagian dari Survivable Sistem inisiatif di Institut rekayasa peranti penangkap lunak, Federal didanai pusat penelitian dan pengembangan yang disponsori oleh Amerika Serikat Departemen Pertahanan dan dioperasikan oleh Universitas Carnegie Mellon.Komputer insiden penasehat kemampuan

Komputer insiden penasehat kemampuan menyediakan pada panggilan bantuan teknis dan informasi untuk Department of Energy (DOE) situs yang mengalami insiden keamanan komputer.McAfeeTrend MicroKomputer AssociatesSymantec (keamanan Mail untuk Exchange, Symantec Antivirus dan Norton AntiVirus)

Microsoft menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan teknis dukungan. informasi kontak ini dapat berubah tanpa pemberitahuan. Microsoft tidak menjamin ketepatan dari informasi kontak pihak ketiga ini.

Produk pihak ketiga yang artikel ini membahas dibuat oleh perusahaan yang independen terhadap Microsoft. Microsoft membuat tidak ada garansi, secara tersirat maupun, berkenaan dengan kinerja atau keandalan produk ini.