Exchange Server 2003年和防病毒软件概述

文章翻译 文章翻译
文章编号: 823166 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本文包含的不同类型的概述病毒扫描程序通常与 Microsoft Exchange Server 一起使用2003。 本文列出的优点、 缺点和疑难解答不同类型的扫描程序时的注意事项。这篇文章没有描述简单邮件传输协议 (SMTP) 筛选的解决方案,通常在不同于 Exchange 2003 的服务器上安装计算机。

文件级扫描程序

经常使用文件级扫描程序,并且它们可能最如果有问题,以便与 Exchange 2003 一起使用。文件级扫描程序可能是内存驻留按需
  • 已加载的文件级防病毒软件的一部分驻留在内存中的引用在任何时候内存。它会检查硬盘上使用的所有文件和计算机内存中。
  • 按需指的是文件级防病毒软件,您可以为部分配置手动或计划扫描硬盘上的文件。启动按需扫描防病毒软件的版本自动更新病毒签名以确保所有文件后使用最新的签名来扫描。
使用文件级扫描程序时,可能会出现以下问题Exchange 2003:
  • 文件级扫描程序扫描的文件时使用该文件或在计划的时间间隔,以及这些扫描程序可能会锁定或隔离的 Exchange 日志或者,尝试使用该文件时 Exchange 2003 数据库文件。此行为可能会原因中的一个严重故障的 Exchange 2003,可能还会生成-1018出现错误。
  • 文件级扫描程序不提供保护如 Melissa 病毒的电子邮件病毒。

    注意Melissa 病毒是可以的 Microsoft Word 宏病毒通过电子邮件传播。病毒发送不适当的电子邮件在 Microsoft 的个人通讯簿中找到的地址的邮件Outlook 邮件客户端。类似的病毒可导致数据破坏。
从这两个请求文件级中排除以下文件夹扫描仪和内存驻留的文件级扫描程序:
  • 交换数据库,并跨所有存储组日志文件。默认情况下这些磁盘位于 Exchsrvr\Mdbdata 文件夹中。
  • Exchange MTA Exchsrvr\Mtadata 文件夹中的文件。
  • 其他日志文件 (如 Exchsrvr\server_name.log目录。
  • Exchsrvr\Mailroot 虚拟服务器文件夹中。
  • 用于存储流.tmp 的工作文件夹用于邮件转换的文件。默认情况下,该文件夹是Exchsrvr\Mdbdata,但位置进行配置。 有关详细信息,请单击以下文章编号,以查看 Microsoft 知识库中相应的文章:
    822936本地传递队列的消息流时速度太慢
  • 与一起使用的临时文件夹脱机维护实用程序 (如 Eseutil.exe。默认情况下,该文件夹是位置在.exe 文件运行,但您可以配置的位置,从运行该实用程序时运行该文件。
  • 站点复制服务 (SRS) 文件中的Exchsrvr\Srsdata 文件夹。
  • Microsoft Internet Information Services (IIS) 的系统文件在 %SystemRoot%\System32\Inetsrv 文件夹中。

    注意您可能希望排除两者在整个 Exchsrvr 文件夹按需文件级扫描程序和文件驻留在内存中的文件级扫描程序。
  • Internet Information Services (IIS) 6.0 压缩使用 Outlook Web Access 2003 使用的文件夹。默认情况下压缩在 IIS 6.0 中的文件夹位于 %systemroot%\IIS 临时压缩文件。

    有关详细信息信息,请单击下面的文章编号,以查看在文章微软知识文库:
    817442防病毒扫描 IIS 压缩目录可能会导致 0 字节的文件
  • 群集、 仲裁磁盘和 %Winnt%\Cluster文件夹。
  • 防病毒程序的所有邮件文件夹。
  • Exchsrvr\Conndata 文件夹中。
排除包含检查点 (.chk) 文件中的文件夹内存驻留的文件级扫描程序和文件级别的点播扫描程序。

注意即使您移动到新的 Exchange 数据库和日志文件位置和排除这些文件夹,可能仍会扫描.chk 文件。 对于有关扫描.chk 文件时,可能出现的情况的详细信息,单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
253111Exchange Server 数据库服务被拒绝其自己的.edb 文件或.chk 文件的写入访问权限时,会记录错误事件
176239 数据库将不会启动。循环日志记录已删除日志文件时间太短
许多文件级扫描程序目前支持的扫描处理。这也可能反过来会影响 Exchange。因此,您应该从文件级扫描程序中排除下列过程:
  • Cdb.exe
  • Cidaemon.exe
  • Store.exe
  • Emsmta.exe
  • Mad.exe
  • Mssearch.exe
  • Inetinfo.exe
  • W3wp.exe

MAPI 扫描程序

第一代病毒扫描程序,包括交换代理是基于 MAPI 的。这些扫描程序执行 MAPI 登录到每个邮箱和扫描已知病毒。

MAPI 扫描程序具有以下通过基于文件的扫描程序的优点:
  • MAPI 扫描程序可以如扫描的电子邮件病毒Melissa 病毒。
  • MAPI 扫描程序不会影响与 Exchange 日志或数据库文件。

MAPI 扫描程序具有以下缺点:
  • MAPI 扫描程序可能不会扫描受感染的电子邮件用户打开电子邮件。MAPI 扫描程序不会阻止如果扫描仪不首先打开受感染的电子邮件的用户检测到感染病毒的电子邮件。
  • MAPI 扫描程序无法扫描出站邮件。
  • MAPI 扫描程序不能识别单个交换实例存储筛选器。因此,扫描仪扫描一条消息很多如果存在多个邮箱中的同一条消息的时间。因此,MAPI扫描程序可能会花费较长的时间执行扫描。
MAPI 扫描程序可以检测到电子邮件病毒,因为它是文件级扫描程序更好的选择。但是,有更好的选项MAPI 扫描程序,并将这些这下文中介绍的可用文章。

Virus Scanning API 扫描程序

病毒扫描应用程序编程接口 (API) 也是被称为病毒 API (VAPI)、 防病毒程序 API (AVAPI) 或 Virus Scanning API(VSAPI)。

在 Microsoft Exchange 中引入 Virus Scanning API 1.05.5 服务器服务包 3 (SP3) 和之前版本的 Exchange 中的标准2000年提高到 Virus Scanning API 1.0 进行了改进许多。与 Exchange Server 的性能。 有关详细信息,单击下面的文章编号,以查看 Microsoft 中的文章知识文库:
248838Exchange Server 5.5 post-Service 包 3 信息存储修补程序可用

Exchange 2000 服务器服务包 1 (SP1)包括 Virus Scanning API 2.0。不支持 Virus Scanning API 2.0Exchange Server 5.5。Virus Scanning API 1.0 和 2.0 两个 Virus Scanning API支持按需扫描。

Exchange 2003 现在包含病毒扫描API 2.5。Virus Scanning API 2.5 包括以前的病毒功能扫描 API 2.0 中,除了以下改进:
  • 改进的病毒扫描 API 允许防病毒供应商在没有驻留 Exchange 的 Exchange 2003 服务器上运行的产品邮箱 (例如,网关服务器或桥头服务器)。
  • Virus Scanning API 2.5 允许防病毒供应商产品删除的邮件,并将消息发送给发件人和其他病毒状态邮件允许客户端可以更好地指示某一特定的感染状态消息。
有关详细信息,请与联系您的防病毒软件制造商联系有关更新的信息。

当您使用病毒扫描 API 扫描程序和客户端试图打开一封邮件,以确保进行比较已通过最新的病毒扫描邮件正文和附件签名文件。如果当前病毒签名文件尚未扫描内容,相应的邮件组件提交给防病毒软件扫描该邮件组件发布到之前的供应商产品客户端。客户端可以使用常规的 MAPI 客户端或互联网协议 (IP)-基于客户端 (如邮局协议版本 3 (POP3),Microsoft Outlook Web Access (OWA) 和 Internet 邮件访问协议,版本: (IMAP4)。

2.0 的 Virus Scanning API 和 Virus Scanning API2.5 处理所有邮件正文和附件数据使用单个队列。提交到该队列的按需项目标记为高优先级。在 Exchange 2003 中,此队列现在由一系列的线程,并始终优先高优先级项目。默认的线程数为 2时间 处理器个数 加 1。这样,尽可能为提交到防病毒供应商产品在多个项目的在同一时间。此外,客户端线程不依赖于的超时值等待释放的项目。扫描项目并标记为可安全之后,该项目是可用通知客户端线程。默认情况下客户端线程在等待三分钟时得到通知的可用性请求的数据即出现超时。

Virus Scanning API 2.0 和Virus Scanning API 2.5 包括主动邮件扫描功能。在中它不扫描 Virus Scanning API 1.0,邮件附件信息使用。在 2.0 的 Virus Scanning API 和 Virus Scanning API 2.5,提交的项目公用信息存储队列提交的信息时,它们存储区。每个这些项目都会收到较低的优先级在队列中,因此,这些项目不会影响扫描的高优先级项目。当所有Virus Scanning API 2.0 或病毒扫描,高优先级的项目扫描 API 2.5 开始扫描低优先级项目。项目的优先级如果客户端尝试使用的项动态地升级到高优先级在低优先级队列项目时。最多 30 个项目存在于低优先级队列中,并且该队列的内容相同的时间是已确定,在第一次先出原则。

Virus Scanning API 2.0 和Virus Scanning API 2.5 包括改进的后台扫描进程。在中通过使单个执行 Virus Scanning API 1.0,后台扫描通过对附件表。Virus Scanning API 1.0 然后提交附件未扫描的当前防病毒供应商产品或签名直接与防病毒动态链接库 (DLL) 文件。每个专用信息存储和公用信息存储收到一个线程来执行此后台扫描。之后该线程完成对附件表,处理过程线程将等待信息存储进程之前重新启动执行一遍。在 Virus Scanning API 2.0 和 2.5,Virus Scanning API每个 MDB 邮件数据库仍将收到一个线程来执行后台扫描过程。但是,在 Exchange 2003 中,后台扫描进程定位系列组成每个用户的邮箱文件夹。作为项目的不扫描会遇到,它们提交给防病毒软件供应商的产品,并在扫描过程将继续进行。防病毒软件供应商产品也可能强制开始后台扫描的一组的方式注册表项。

大多数的功能要求添加至Virus Scanning API 1.0 是一种提供了这样的交换消息的详细信息管理员可以跟踪病毒的存在情况,确定如何病毒渗入组织,并确定受影响的用户。这因为扫描不再是 Virus Scanning API 2.0 中添加功能直接基于附件表。

Virus Scanning API性能监视器计数器可用于跟踪病毒的性能扫描 API,提高 Virus Scanning API 2.0 和病毒中的故障排除扫描 API 2.5。通过使用这些计数器,管理员可以确定如何正在扫描的信息,该信息正在快速扫描。这有助于更准确地调整服务器的管理员。

Virus Scanning API 2.0 和 Virus Scanning API 2.5 也包含事件日志记录的是特定于病毒扫描 API。记录的事件包括:
  • 正在装入和卸载的供应商 Dll。
  • 成功的项目扫描。
  • 信息中的病毒存储区。
  • 病毒扫描 API 中的意外的行为。

基于 ESE 的扫描仪

基于 ESE 的某些版本的 Antigen 如扫描仪使用之间的接口信息存储和支持的可扩展存储引擎 (ESE)Microsoft。当您使用这种类型的软件时,运行数据库的风险损坏和数据丢失中是否存在错误的软件实现。

在安装期间,基于 ESE 的扫描程序更改交换服务器信息存储服务,使依赖于特定的服务。这可以确保在服务启动之前的 Exchange Server启动信息存储服务。在启动过程中,扫描程序的服务检查适当版本的软件和 Exchange Server,和适当的文件版本。如果发现任何不兼容现象,antigen 被管软件禁用其自身,从而实现信息存储,而不启动防病毒保护,然后通知管理员。


当基于 ESE 的扫描程序已成功启动 Ese.dll 的 Microsoft 版本临时文件重命名为 Xese.dll 和 Antigen 版本Ese.dll 文件将替换原始文件。Antigen 版本Ese.dll 文件已加载、 的 Microsoft 版本已重命名为 Ese.dll 和启用 Exchange Server 信息存储,以完成其启动过程。


请与 Microsoft 产品支持的客户服务可能要求您禁用 Antigen 服务以帮助确定问题,但客户可以自由地在根后再次启用 Antigen 软件正确诊断出问题的原因。

其他阅读

有关详细信息病毒扫描软件所使用的 Exchange 中,单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
285667了解 Virus Scanning API 2.0 在 Exchange 2000 服务包 1
298924 由于备份或 Exchange 2000 M 驱动器的扫描问题
245822 疑难解答 Exchange Server 计算机与安装的防病毒软件的建议
253111 Exchange Server 数据库服务被拒绝其自己的.edb 文件或.chk 文件的写入访问权限时,会记录错误事件
176239 数据库将不会启动。循环日志记录已删除日志文件时间太短
关于病毒和安全警告的最新信息关于病毒保护软件供应商,请访问下面的 Microsoft 和第三方 Web 站点:

Microsoft
http://www.microsoft.com
ICSA

ICSA 实验室,公司的一个部门 TruSecure,提供了互联网安全保证的服务。
http://www.icsalabs.com
CERT 协调中心

CERT 协调中心是 Survivable 的一部分在软件工程研究院,联邦政府的资助系统计划美国部门的赞助的研究和开发中心防护和运营的卡耐基-梅隆大学。
http://www.cert.org
计算机事故安全公告功能

计算机事故安全公告功能提供电话技术支持技术帮助和信息到部门的能源 (DOE) 站点的遇到计算机安全事件。
https://www.llnl.gov/str/Mansur.html
McAfee
http://www.mcafee.com/us/
微趋势
http://www.trendmicro.com/
计算机附件
http://ca.com/virusinfo
Symantec (邮件安全交换,Symantec 防病毒程序,而诺顿防病毒软件)
http://www.symantec.com

更多信息

Microsoft 提供的第三方联系信息以帮助您找到技术支持。此联系信息如有更改恕不另行通知。Microsoft 没有保证此第三方联系信息的准确性。

本文讨论的第三方产品由独立于 Microsoft 的公司生产。Microsoft 使没有担保,隐含的还是性能或可靠性这些产品。

属性

文章编号: 823166 - 最后修改: 2012年4月7日 - 修订: 2.0
这篇文章中的信息适用于:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
关键字:?
kbinfo kbmt KB823166 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 823166
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com