Antivirenscans auf Dateiebene für Exchange 2010
Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Letztes Änderungsdatum des Themas: 2016-11-28
In diesem Thema werden die Auswirkungen von Antivirenprogrammen auf Dateiebene auf Computern beschrieben, die Microsoft Exchange Server 2010 ausführen. Wenn Sie die in diesem Thema beschriebenen Empfehlungen implementieren, können Sie die Sicherheit und den Status Ihrer Exchange-Organisation optimieren.
Scanner auf Dateiebene werden häufig verwendet. Wenn sie jedoch nicht ordnungsgemäß konfiguriert sind, können sie Probleme in Exchange 2010 verursachen. Zwei Typen von Scannern auf Dateiebene werden unterschieden:
Speicherresidente Scans auf Dateiebene beziehen sich auf Antivirensoftware auf Dateiebene, die immer im Arbeitsspeicher geladen ist. Sie überprüft alle Dateien, die auf der Festplatte und im Arbeitsspeicher verwendet werden.
Scans auf Dateiebene bei Bedarf bezieht sich auf Antivirussoftware auf Dateiebene, die Sie so konfigurieren können, dass Dateien auf der Festplatte manuell oder nach einem festgelegten Zeitplan gescannt werden. Einige Versionen von Antivirussoftware starten den Scan bei Bedarf automatisch, nachdem die Virensignaturen aktualisiert wurden, damit sichergestellt ist, dass alle Dateien mit den aktuellsten Signaturen gescannt wurden.
Die folgenden Probleme können auftreten, wenn Sie Antivirenprogramme auf Dateiebene zusammen mit Exchange 2010 verwenden:
Scanner auf Dateiebene können eine Datei scannen, wenn sie verwendet wird, oder sie können in einem geplanten Intervall aufgerufen werden. Dieser Vorgang kann bewirken, dass die Scanner ein Exchange-Protokoll oder eine Datenbankdatei sperren oder isolieren, während Microsoft Exchange versucht, die Datei zu verwenden. Dieses Verhalten kann einen schwerwiegenden Fehler in Microsoft Exchange sowie -1018-Fehler verursachen.
Antivirenprogramme auf Dateiebene bieten keinen Schutz vor E-Mail-Viren wie etwa dem Storm-Wurm. Der Storm-Wurm ist ein Beispiel für ein Trojanisches Pferd (Backdoor-Virus), das sich selbst über E-Mail-Nachrichten verbreitet hat. Der Wurm hat den infizierten Computer an ein Botnet angeschlossen, wobei der Computer in regelmäßigen Abständen zum massenhaften Senden von Spam-E-Mails verwendet wurde. Derartige Viren können sich auf die Leistung des Computers und des Netzwerks auswirken, dem der Computer angeschlossen ist.
Empfehlungen für die Verwendung von Antivirenscans auf Dateiebene mit Exchange 2010
Wenn Sie Antivirenprogramme auf Dateiebene auf Exchange 2010-Servern bereitstellen, vergewissern Sie sich, dass die entsprechenden Ausschlüsse, z. B. Ausschlüsse für Verzeichnisse, Prozesse und Dateinamenerweiterungen, sowohl für die speicherresidente als auch für die Prüfung auf Dateiebene eingerichtet wurden. In diesem Abschnitt werden Verzeichnisausschlüsse, Prozessausschlüsse und Dateinamenerweiterungs-Ausschlüsse für jeden Servercomputer bzw. jede Serverrolle beschrieben.
Verzeichnisausschlüsse
Sie müssen bestimmte Verzeichnisse für jeden Exchange-Server bzw. für jede Serverrolle ausschließen, für den oder die Sie einen Antivirenscanner auf Dateiebene ausführen. In diesem Abschnitt werden die Verzeichnisse beschrieben, die Sie von den Scans auf Dateiebene für jeden Servercomputer bzw. jede Serverrolle ausschließen sollten.
Postfachserverrolle
Exchange-Datenbanken, Prüfpunktdateien und Protokolldateien. Diese Dateien werden standardmäßig in Unterordnern unter dem Ordner %ExchangeInstallPath%\Mailbox gespeichert. Sie können den Pfad des Verzeichnisses mithilfe der folgenden Befehle in der Exchange-Verwaltungsshell abrufen:
- Möchten Sie den Speicherort einer Postfachdatenbank, eines Transaktionsprotokolls und einer Prüfpunktdatei bestimmen, führen Sie den folgenden Befehl aus:
Get-MailboxDatabase -server <servername>| format-list *path*
- Möchten Sie den Speicherort einer Postfachdatenbank, eines Transaktionsprotokolls und einer Prüfpunktdatei bestimmen, führen Sie den folgenden Befehl aus:
Datenbankinhaltsindizes. In der Standardeinstellung befinden sich diese im gleichen Ordner wie die Datenbankdatei.
GroupMetrics-Dateien. Standardmäßig befinden sich diese Dateien im Ordner %ExchangeInstallPath%\GroupMetrics.
Allgemeine Protokolldateien, z. B. Protokolldateien für die Nachrichtenverfolgung und Kalenderreparatur. Standardmäßig befinden sich diese Dateien in Unterordnern in den Ordnern %ExchangeInstallPath%\TransportRoles\Logs und %ExchangeInstallPath%\Logging. Führen Sie folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu bestimmen:
Get-MailboxServer <servername> | format-list *path*
Offlineadressbuch-Dateien. Standardmäßig befinden sich diese Dateien in Unterordnern unter dem Ordner %ExchangeInstallPath%\ExchangeOAB
IIS-Systemdateien im Ordner "%SystemRoot%\System32\Inetsrv"
Der temporäre Ordner, der mit Offlinewartungs-Hilfsprogrammen wie z. B. Eseutil.exe verwendet wird. Dieser Ordner ist standardmäßig der Pfad, aus dem die EXE-Datei ausgeführt wird. Sie können jedoch konfigurieren, wo Sie den Vorgang durchführen möchten, wenn Sie das Hilfsprogramm ausführen.
Der temporäre Ordner der Postfachdatenbank: %ExchangeInstallPath%\Mailbox\MDBTEMP
Alle Exchange-aktivierten Antivirenprogrammordner
- Postfachserver, der Mitglied einer Database Availability Group (DAG) ist
Alle Elemente, die in der Liste der Postfachserverrolle und im Ordner "%Winnt%\Cluster" aufgelistet werden.
Zeugenserver
- Die Zeugenverzeichnisdateien. Diese befinden sich auf einem anderen Server in der Umgebung, normalerweise auf einem Hub-Transport-Server. Diese Dateien befinden sich standardmäßig im Ordner "\\%SystemDrive%:\DAGFileShareWitnesses\<DAGFQDN>" der Standardfreigabe (<DAGFQDN>) auf diesem Server. Weitere Informationen zu Database Availability Groups (DAGs) und Zeugenservern finden Sie unter Verwalten von Datenbankverfügbarkeitsgruppen.
Hub-Transport-Serverrolle
Allgemeine Protokolldateien, z. B. Protokolldateien für die Nachrichtenverfolgung und Konnektivität. Standardmäßig befinden sich diese Dateien in Unterordnern unter dem Ordner %ExchangeInstallPath%\TransportRoles\Logs. Führen Sie folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu bestimmen:
Get-TransportServer <servername>| format-list *logpath*,*tracingpath*
Nachrichtenverzeichnisordner PICKUP und REPLAY. Standardmäßig befinden sich diese Ordner unter dem Ordner %ExchangeInstallPath%\TransportRoles. Führen Sie folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Pfade zu bestimmen:
Get-TransportServer <servername>| fl *dir*path*
Die Warteschlangendatenbank-, Prüfpunkt- und Protokolldateien der Transportserverrolle. Standardmäßig befinden sich diese im Ordner %ExchangeInstallPath%\TransportRoles\Data\Queue. Weitere Informationen finden Sie unter Verwalten von Transportwarteschlangen.
Die Absenderzuverlässigkeitsdatenbank-, Prüfpunkt- und Protokolldateien der Transportserverrolle. Standardmäßig befinden sich diese im Ordner %ExchangeInstallPath%\TransportRoles\Data\SenderReputation.
Die IP-Filterdatenbank-, Prüfpunkt- und Protokolldateien der Transportserverrolle. Standardmäßig befinden sich diese im Ordner %ExchangeInstallPath%\TransportRoles\Data\IpFilter.
Die temporären Ordner, die zum Durchführen von Konvertierungen verwendet werden:
Standardmäßig werden Inhaltskonvertierungen im TMP-Ordner des Exchange-Servers ausgeführt.
OLE-Konvertierungen werden standardmäßig im Ordner %ExchangeInstallPath%\Working\OleConvertor durchgeführt.
Alle Exchange-aktivierten Antivirenprogrammordner
Edge-Transport-Serverrolle
Die Active Directory Lightweight-Verzeichnisdienst-Datenbank- (Active Directory Lightweight Directory Service, AD LDS) und Protokolldateien. Standardmäßig befinden sich diese im Ordner %ExchangeInstallPath%\TransportRoles\Data\Adam. Weitere Informationen zu AD LDS-Datenbankdateien finden Sie unter Ändern der AD LDS-Konfiguration.
Allgemeine Protokolldateien, z. B. Protokolldateien für die Nachrichtenverfolgung. Standardmäßig befinden sich diese Dateien in Unterordnern unter dem Ordner %ExchangeInstallPath%\TransportRoles\Logs. Führen Sie folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu bestimmen:
Get-TransportServer <servername> | format-list *logpath*,*tracingpath*
Nachrichtenordner PICKUP und REPLAY. Standardmäßig befinden sich diese unter dem Ordner %ExchangeInstallPath%\TransportRoles. Führen Sie folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu bestimmen:
Get-TransportServer <servername>| format-list *dir*path*
Die Warteschlangendatenbank-, Prüfpunkt- und Protokolldateien der Transportserverrolle. Standardmäßig befinden sich diese im Ordner %ExchangeInstallPath%\TransportRoles\Data\Queue. Weitere Informationen zu Transportserverwarteschlangen finden Sie unter Verwalten von Transportwarteschlangen.
Die Absenderzuverlässigkeitsdatenbank-, Prüfpunkt- und Protokolldateien der Transportserverrolle. Standardmäßig befinden sich diese im Ordner %ExchangeInstallPath%\TransportRoles\Data\SenderReputation
Die IP-Filterdatenbank-, Prüfpunkt- und Protokolldateien der Transportserverrolle. Standardmäßig befinden sich diese im Ordner %ExchangeInstallPath%\TransportRoles\Data\IpFilter
Die temporären Ordner, die zum Durchführen von Konvertierungen verwendet werden:
Standardmäßig werden Inhaltskonvertierungen im TMP-Ordner des Servers ausgeführt.
OLE-Konvertierungen werden standardmäßig im Ordner %ExchangeInstallPath%\Working\OleConvertor durchgeführt.
Alle Exchange-aktivierten Antivirenprogrammordner
Clientzugriffs-Serverrolle
Für IIS 7.0 (Internet Information Services, Internetinformationsdienste) verwendende Server der Komprimierungsordner, der mit Microsoft Outlook Web App verwendet wird. Der Komprimierungsordner für IIS 7.0 befindet sich standardmäßig unter "%SystemDrive%\inetpub\temp\IIS Temporary Compressed Files".
Für IIS 6.0 verwendende Server der Komprimierungsordner, der mit Microsoft Outlook Web App verwendet wird. Der Komprimierungsordner für IIS 6.0 befindet sich standardmäßig unter %systemroot%\IIS Temporary Compressed Files. Weitere Informationen zu möglichen Fehlern, die sich beim Durchsuchen des IIS-Komprimierungsordners ergeben, finden Sie im Microsoft Knowledge Base-Artikel 817442 Möglicherweise wird eine 0-Byte-Datei zurückgegeben, wenn die Komprimierung auf einem Server mit IIS aktiviert ist.
IIS-Systemdateien im Ordner "%SystemRoot%\System32\Inetsrv"
Inetpub\logs\logfiles\w3svc
Die internetbezogenen Dateien, die in Unterordnern des Ordners %ExchangeInstallPath%\ClientAccess gespeichert werden
Folgende Ordner für Server mit aktivierter Protokollprotokollierung für POP3 oder IMAP4:
POP3-Ordner: %ExchangeInstallPath%\Logging\POP3
IMAP4-Ordner: %ExchangeInstallPath%\Logging\IMAP4
Die temporären Ordner, die zum Durchführen von Konvertierungen verwendet werden:
Standardmäßig werden Inhaltskonvertierungen im TMP-Ordner des Servers ausgeführt.
OLE-Konvertierungen werden standardmäßig im Ordner %ExchangeInstallPath%\Working\OleConvertor durchgeführt.
Temporäre Dateien in Unterordnern des Ordners "%windir%\Microsoft.NET\Framework64\v2.0.50727\Temporary ASP.NET Files".
Unified Messaging-Serverrolle
Die Grammatikdateien für unterschiedliche Gebietsschemas, z. B. "de-DE" oder "es-ES". Standardmäßig werden diese in den Unterordnern im Ordner %ExchangeInstallPath%\UnifiedMessaging\grammars gespeichert.
Die Dateien für Ansagen, Begrüßungen und Informationsmeldungen. Standardmäßig werden diese in den Unterordnern im Ordner %ExchangeInstallPath%\UnifiedMessaging\Prompts gespeichert
Die Voicemail-Dateien, die vorübergehend im Ordner %ExchangeInstallPath%\UnifiedMessaging\voicemail gespeichert sind.
Die durch Unified Messaging generierten temporären Dateien. Standardmäßig werden diese im Ordner %ExchangeInstallPath%\UnifiedMessaging\temp gespeichert.
Microsoft Forefront Protection für Exchange
Der Forefront-Installationsordner. In der Standardeinstellung ist dies "%Programme (x86)%\Microsoft Forefront Protection for Exchange Server\".
Alle archivierten Nachrichten. Standardmäßig werden diese im Ordner "%Programme (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Archive" gespeichert.
Alle isolierten Dateien. Standardmäßig werden diese im Ordner "%Programme (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Quarantine" gespeichert.
Die Dateien des Antivirenmoduls. Standardmäßig werden diese in den Unterordnern des Ordners "%Programme (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Engines\x86" oder "%Programme (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Engines\amd64" gespeichert.
Die Konfigurationsdateien. Standardmäßig werden diese im Ordner "%Programme (x86)%\Microsoft Forefront Protection for Exchange Server\Data" gespeichert.
Prozessausschlüsse
Zahlreiche Antivirenprogramme auf Dateiebene unterstützen die Prüfung von Prozessen, die sich negativ auf Microsoft Exchange auswirken können, wenn die falschen Prozesse überprüft werden. Aus diesem Grund sollten Sie die folgenden Prozesse aus Scanvorgängen auf Dateiebene ausschließen.
Cdb.exe |
Microsoft.Exchange.Search.Exsearch.exe |
Cidaemon.exe |
Microsoft.Exchange.Servicehost.exe |
Clussvc.exe |
MSExchangeADTopologyService.exe |
Dsamain.exe |
MSExchangeFDS.exe |
Microsoft.Exchange.EdgeCredentialSvc.exe |
MSExchangeMailboxAssistants.exe |
EdgeTransport.exe |
MSExchangeMailboxReplication.exe |
ExFBA.exe |
MSExchangeMailSubmission.exe |
GalGrammarGenerator.exe |
MSExchangeRepl.exe |
Inetinfo.exe |
MSExchangeTransport.exe |
Mad.exe |
MSExchangeTransportLogSearch.exe |
Microsoft.Exchange.AddressBook.Service.exe |
MSExchangeThrottling.exe |
Microsoft.Exchange.AntispamUpdateSvc.exe |
Msftefd.exe |
Microsoft.Exchange.ContentFilter.Wrapper.exe |
Msftesql.exe |
Microsoft.Exchange.EdgeSyncSvc.exe |
OleConverter.exe |
Microsoft.Exchange.Imap4.exe |
Powershell.exe |
Microsoft.Exchange.Imap4service.exe |
SESWorker.exe |
MSExchangeMailboxAssistants.exe |
SpeechService.exe |
Microsoft.Exchange.Monitoring.exe |
Store.exe |
Microsoft.Exchange.Pop3.exe |
TranscodingService.exe |
Microsoft.Exchange.Pop3service.exe |
UmService.exe |
Microsoft.Exchange.ProtectedServiceHost.exe |
UmWorkerProcess.exe |
Microsoft.Exchange.RPCClientAccess.Service.exe |
W3wp.exe |
Wenn Sie außerdem Forefront Protection für Exchange Server bereitstellen, schließen Sie die folgenden Prozesse aus.
Adonavsvc.exe |
FscStatsServ.exe |
FscController.exe |
FscTransportScanner.exe |
FscDiag.exe |
FscUtility.exe |
FscExec.exe |
FsEmailPickup.exe |
FscImc.exe |
FssaClient.exe |
FscManualScanner.exe |
GetEngineFiles.exe |
FscMonitor.exe |
PerfmonitorSetup.exe |
FscRealtimeScanner.exe |
ScanEngineTest.exe |
FscStarter.exe |
SemSetup.exe |
Dateinamenerweiterungs-Ausschlüsse
Sie sollten neben bestimmten Verzeichnissen und Prozessen auch die folgenden Exchange-spezifischen Dateinamenerweiterungen für den Fall ausschließen, dass ein Fehler bei den Verzeichnisausschlüssen auftritt oder Dateien aus ihren Standardspeicherorten verschoben werden.
Anwendungsbezogene Erweiterungen
CONFIG
DIA
WSB
Datenbankbezogene Erweiterungen
CHK
JRS
LOG
EDB
JSL
QUE
Erweiterungen, die sich auf das Offlineadressbuch beziehen
- LZX
Inhaltsindexbezogene Erweiterungen
CI
WID
.001
DIR
.000
.002
Unified Messaging-bezogene Erweiterungen
CFG
GRXML
GroupMetrics
DSC
.bin
.xml
Forefront Protection für Exchange Server–bezogene Erweiterungen
.avc
.dt
.lst
.cab
.fdb
.mdb
CFG
.fdm
.ppl
CONFIG
.ide
.set
.da1
.key
.v3d
.dat
.klb
.vdb
.def
.kli
.vdm
Die für Forefront Protection für Exchange Server aufgeführten Dateinamenerweiterungen sind die Signaturdateien aus verschiedenen Antivirenverzeichnismodulen. In den meisten Fällen ändern sich diese Dateinamenerweiterungen nicht. Dateinamenerweiterungen können zukünftig jedoch hinzugefügt werden, wenn Drittanbieter von Antivirensoftware Antivirensignaturdateien aktualisieren.
© 2010 Microsoft Corporation. Alle Rechte vorbehalten.