Antivirenscans auf Dateiebene für Exchange 2010

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2016-11-28

In diesem Thema werden die Auswirkungen von Antivirenprogrammen auf Dateiebene auf Computern beschrieben, die Microsoft Exchange Server 2010 ausführen. Wenn Sie die in diesem Thema beschriebenen Empfehlungen implementieren, können Sie die Sicherheit und den Status Ihrer Exchange-Organisation optimieren.

Scanner auf Dateiebene werden häufig verwendet. Wenn sie jedoch nicht ordnungsgemäß konfiguriert sind, können sie Probleme in Exchange 2010 verursachen. Zwei Typen von Scannern auf Dateiebene werden unterschieden:

  • Speicherresidente Scans auf Dateiebene beziehen sich auf Antivirensoftware auf Dateiebene, die immer im Arbeitsspeicher geladen ist. Sie überprüft alle Dateien, die auf der Festplatte und im Arbeitsspeicher verwendet werden.

  • Scans auf Dateiebene bei Bedarf bezieht sich auf Antivirussoftware auf Dateiebene, die Sie so konfigurieren können, dass Dateien auf der Festplatte manuell oder nach einem festgelegten Zeitplan gescannt werden. Einige Versionen von Antivirussoftware starten den Scan bei Bedarf automatisch, nachdem die Virensignaturen aktualisiert wurden, damit sichergestellt ist, dass alle Dateien mit den aktuellsten Signaturen gescannt wurden.

Die folgenden Probleme können auftreten, wenn Sie Antivirenprogramme auf Dateiebene zusammen mit Exchange 2010 verwenden:

  • Scanner auf Dateiebene können eine Datei scannen, wenn sie verwendet wird, oder sie können in einem geplanten Intervall aufgerufen werden. Dieser Vorgang kann bewirken, dass die Scanner ein Exchange-Protokoll oder eine Datenbankdatei sperren oder isolieren, während Microsoft Exchange versucht, die Datei zu verwenden. Dieses Verhalten kann einen schwerwiegenden Fehler in Microsoft Exchange sowie -1018-Fehler verursachen.

  • Antivirenprogramme auf Dateiebene bieten keinen Schutz vor E-Mail-Viren wie etwa dem Storm-Wurm. Der Storm-Wurm ist ein Beispiel für ein Trojanisches Pferd (Backdoor-Virus), das sich selbst über E-Mail-Nachrichten verbreitet hat. Der Wurm hat den infizierten Computer an ein Botnet angeschlossen, wobei der Computer in regelmäßigen Abständen zum massenhaften Senden von Spam-E-Mails verwendet wurde. Derartige Viren können sich auf die Leistung des Computers und des Netzwerks auswirken, dem der Computer angeschlossen ist.

Wenn Sie Antivirenprogramme auf Dateiebene auf Exchange 2010-Servern bereitstellen, vergewissern Sie sich, dass die entsprechenden Ausschlüsse, z. B. Ausschlüsse für Verzeichnisse, Prozesse und Dateinamenerweiterungen, sowohl für die speicherresidente als auch für die Prüfung auf Dateiebene eingerichtet wurden. In diesem Abschnitt werden Verzeichnisausschlüsse, Prozessausschlüsse und Dateinamenerweiterungs-Ausschlüsse für jeden Servercomputer bzw. jede Serverrolle beschrieben.

Sie müssen bestimmte Verzeichnisse für jeden Exchange-Server bzw. für jede Serverrolle ausschließen, für den oder die Sie einen Antivirenscanner auf Dateiebene ausführen. In diesem Abschnitt werden die Verzeichnisse beschrieben, die Sie von den Scans auf Dateiebene für jeden Servercomputer bzw. jede Serverrolle ausschließen sollten.

Postfachserverrolle
  • Exchange-Datenbanken, Prüfpunktdateien und Protokolldateien. Diese Dateien werden standardmäßig in Unterordnern unter dem Ordner %ExchangeInstallPath%\Mailbox gespeichert. Sie können den Pfad des Verzeichnisses mithilfe der folgenden Befehle in der Exchange-Verwaltungsshell abrufen:

    • Möchten Sie den Speicherort einer Postfachdatenbank, eines Transaktionsprotokolls und einer Prüfpunktdatei bestimmen, führen Sie den folgenden Befehl aus: Get-MailboxDatabase -server <servername>| format-list *path*

  • Datenbankinhaltsindizes. In der Standardeinstellung befinden sich diese im gleichen Ordner wie die Datenbankdatei.

  • GroupMetrics-Dateien. Standardmäßig befinden sich diese Dateien im Ordner %ExchangeInstallPath%\GroupMetrics.

  • Allgemeine Protokolldateien, z. B. Protokolldateien für die Nachrichtenverfolgung und Kalenderreparatur. Standardmäßig befinden sich diese Dateien in Unterordnern in den Ordnern %ExchangeInstallPath%\TransportRoles\Logs und %ExchangeInstallPath%\Logging. Führen Sie folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu bestimmen: Get-MailboxServer <servername> | format-list *path*

  • Offlineadressbuch-Dateien. Standardmäßig befinden sich diese Dateien in Unterordnern unter dem Ordner %ExchangeInstallPath%\ExchangeOAB

  • IIS-Systemdateien im Ordner "%SystemRoot%\System32\Inetsrv"

  • Der temporäre Ordner, der mit Offlinewartungs-Hilfsprogrammen wie z. B. Eseutil.exe verwendet wird. Dieser Ordner ist standardmäßig der Pfad, aus dem die EXE-Datei ausgeführt wird. Sie können jedoch konfigurieren, wo Sie den Vorgang durchführen möchten, wenn Sie das Hilfsprogramm ausführen.

  • Der temporäre Ordner der Postfachdatenbank: %ExchangeInstallPath%\Mailbox\MDBTEMP

  • Alle Exchange-aktivierten Antivirenprogrammordner

Postfachserver, der Mitglied einer Database Availability Group (DAG) ist

Alle Elemente, die in der Liste der Postfachserverrolle und im Ordner "%Winnt%\Cluster" aufgelistet werden.

Zeugenserver
  • Die Zeugenverzeichnisdateien. Diese befinden sich auf einem anderen Server in der Umgebung, normalerweise auf einem Hub-Transport-Server. Diese Dateien befinden sich standardmäßig im Ordner "\\%SystemDrive%:\DAGFileShareWitnesses\<DAGFQDN>" der Standardfreigabe (<DAGFQDN>) auf diesem Server. Weitere Informationen zu Database Availability Groups (DAGs) und Zeugenservern finden Sie unter Verwalten von Datenbankverfügbarkeitsgruppen.

Hub-Transport-Serverrolle
  • Allgemeine Protokolldateien, z. B. Protokolldateien für die Nachrichtenverfolgung und Konnektivität. Standardmäßig befinden sich diese Dateien in Unterordnern unter dem Ordner %ExchangeInstallPath%\TransportRoles\Logs. Führen Sie folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu bestimmen: Get-TransportServer <servername>| format-list *logpath*,*tracingpath*

  • Nachrichtenverzeichnisordner PICKUP und REPLAY. Standardmäßig befinden sich diese Ordner unter dem Ordner %ExchangeInstallPath%\TransportRoles. Führen Sie folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Pfade zu bestimmen: Get-TransportServer <servername>| fl *dir*path*

  • Die Warteschlangendatenbank-, Prüfpunkt- und Protokolldateien der Transportserverrolle. Standardmäßig befinden sich diese im Ordner %ExchangeInstallPath%\TransportRoles\Data\Queue. Weitere Informationen finden Sie unter Verwalten von Transportwarteschlangen.

  • Die Absenderzuverlässigkeitsdatenbank-, Prüfpunkt- und Protokolldateien der Transportserverrolle. Standardmäßig befinden sich diese im Ordner %ExchangeInstallPath%\TransportRoles\Data\SenderReputation.

  • Die IP-Filterdatenbank-, Prüfpunkt- und Protokolldateien der Transportserverrolle. Standardmäßig befinden sich diese im Ordner %ExchangeInstallPath%\TransportRoles\Data\IpFilter.

  • Die temporären Ordner, die zum Durchführen von Konvertierungen verwendet werden:

    • Standardmäßig werden Inhaltskonvertierungen im TMP-Ordner des Exchange-Servers ausgeführt.

    • OLE-Konvertierungen werden standardmäßig im Ordner %ExchangeInstallPath%\Working\OleConvertor durchgeführt.

  • Alle Exchange-aktivierten Antivirenprogrammordner

Edge-Transport-Serverrolle
  • Die Active Directory Lightweight-Verzeichnisdienst-Datenbank- (Active Directory Lightweight Directory Service, AD LDS) und Protokolldateien. Standardmäßig befinden sich diese im Ordner %ExchangeInstallPath%\TransportRoles\Data\Adam. Weitere Informationen zu AD LDS-Datenbankdateien finden Sie unter Ändern der AD LDS-Konfiguration.

  • Allgemeine Protokolldateien, z. B. Protokolldateien für die Nachrichtenverfolgung. Standardmäßig befinden sich diese Dateien in Unterordnern unter dem Ordner %ExchangeInstallPath%\TransportRoles\Logs. Führen Sie folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu bestimmen: Get-TransportServer <servername> | format-list *logpath*,*tracingpath*

  • Nachrichtenordner PICKUP und REPLAY. Standardmäßig befinden sich diese unter dem Ordner %ExchangeInstallPath%\TransportRoles. Führen Sie folgenden Befehl in der Exchange-Verwaltungsshell aus, um die verwendeten Protokollpfade zu bestimmen: Get-TransportServer <servername>| format-list *dir*path*

  • Die Warteschlangendatenbank-, Prüfpunkt- und Protokolldateien der Transportserverrolle. Standardmäßig befinden sich diese im Ordner %ExchangeInstallPath%\TransportRoles\Data\Queue. Weitere Informationen zu Transportserverwarteschlangen finden Sie unter Verwalten von Transportwarteschlangen.

  • Die Absenderzuverlässigkeitsdatenbank-, Prüfpunkt- und Protokolldateien der Transportserverrolle. Standardmäßig befinden sich diese im Ordner %ExchangeInstallPath%\TransportRoles\Data\SenderReputation

  • Die IP-Filterdatenbank-, Prüfpunkt- und Protokolldateien der Transportserverrolle. Standardmäßig befinden sich diese im Ordner %ExchangeInstallPath%\TransportRoles\Data\IpFilter

  • Die temporären Ordner, die zum Durchführen von Konvertierungen verwendet werden:

    • Standardmäßig werden Inhaltskonvertierungen im TMP-Ordner des Servers ausgeführt.

    • OLE-Konvertierungen werden standardmäßig im Ordner %ExchangeInstallPath%\Working\OleConvertor durchgeführt.

  • Alle Exchange-aktivierten Antivirenprogrammordner

Clientzugriffs-Serverrolle
  • Für IIS 7.0 (Internet Information Services, Internetinformationsdienste) verwendende Server der Komprimierungsordner, der mit Microsoft Outlook Web App verwendet wird. Der Komprimierungsordner für IIS 7.0 befindet sich standardmäßig unter "%SystemDrive%\inetpub\temp\IIS Temporary Compressed Files".

  • Für IIS 6.0 verwendende Server der Komprimierungsordner, der mit Microsoft Outlook Web App verwendet wird. Der Komprimierungsordner für IIS 6.0 befindet sich standardmäßig unter %systemroot%\IIS Temporary Compressed Files. Weitere Informationen zu möglichen Fehlern, die sich beim Durchsuchen des IIS-Komprimierungsordners ergeben, finden Sie im Microsoft Knowledge Base-Artikel 817442 Möglicherweise wird eine 0-Byte-Datei zurückgegeben, wenn die Komprimierung auf einem Server mit IIS aktiviert ist.

  • IIS-Systemdateien im Ordner "%SystemRoot%\System32\Inetsrv"

  • Inetpub\logs\logfiles\w3svc

  • Die internetbezogenen Dateien, die in Unterordnern des Ordners %ExchangeInstallPath%\ClientAccess gespeichert werden

  • Folgende Ordner für Server mit aktivierter Protokollprotokollierung für POP3 oder IMAP4:

    • POP3-Ordner: %ExchangeInstallPath%\Logging\POP3

    • IMAP4-Ordner: %ExchangeInstallPath%\Logging\IMAP4

  • Die temporären Ordner, die zum Durchführen von Konvertierungen verwendet werden:

    • Standardmäßig werden Inhaltskonvertierungen im TMP-Ordner des Servers ausgeführt.

    • OLE-Konvertierungen werden standardmäßig im Ordner %ExchangeInstallPath%\Working\OleConvertor durchgeführt.

  • Temporäre Dateien in Unterordnern des Ordners "%windir%\Microsoft.NET\Framework64\v2.0.50727\Temporary ASP.NET Files".

Unified Messaging-Serverrolle
  • Die Grammatikdateien für unterschiedliche Gebietsschemas, z. B. "de-DE" oder "es-ES". Standardmäßig werden diese in den Unterordnern im Ordner %ExchangeInstallPath%\UnifiedMessaging\grammars gespeichert.

  • Die Dateien für Ansagen, Begrüßungen und Informationsmeldungen. Standardmäßig werden diese in den Unterordnern im Ordner %ExchangeInstallPath%\UnifiedMessaging\Prompts gespeichert

  • Die Voicemail-Dateien, die vorübergehend im Ordner %ExchangeInstallPath%\UnifiedMessaging\voicemail gespeichert sind.

  • Die durch Unified Messaging generierten temporären Dateien. Standardmäßig werden diese im Ordner %ExchangeInstallPath%\UnifiedMessaging\temp gespeichert.

Microsoft Forefront Protection für Exchange
  • Der Forefront-Installationsordner. In der Standardeinstellung ist dies "%Programme (x86)%\Microsoft Forefront Protection for Exchange Server\".

  • Alle archivierten Nachrichten. Standardmäßig werden diese im Ordner "%Programme (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Archive" gespeichert.

  • Alle isolierten Dateien. Standardmäßig werden diese im Ordner "%Programme (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Quarantine" gespeichert.

  • Die Dateien des Antivirenmoduls. Standardmäßig werden diese in den Unterordnern des Ordners "%Programme (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Engines\x86" oder "%Programme (x86)%\Microsoft Forefront Protection for Exchange Server\Data\Engines\amd64" gespeichert.

  • Die Konfigurationsdateien. Standardmäßig werden diese im Ordner "%Programme (x86)%\Microsoft Forefront Protection for Exchange Server\Data" gespeichert.

Zahlreiche Antivirenprogramme auf Dateiebene unterstützen die Prüfung von Prozessen, die sich negativ auf Microsoft Exchange auswirken können, wenn die falschen Prozesse überprüft werden. Aus diesem Grund sollten Sie die folgenden Prozesse aus Scanvorgängen auf Dateiebene ausschließen.

 

Cdb.exe

Microsoft.Exchange.Search.Exsearch.exe

Cidaemon.exe

Microsoft.Exchange.Servicehost.exe

Clussvc.exe

MSExchangeADTopologyService.exe

Dsamain.exe

MSExchangeFDS.exe

Microsoft.Exchange.EdgeCredentialSvc.exe

MSExchangeMailboxAssistants.exe

EdgeTransport.exe

MSExchangeMailboxReplication.exe

ExFBA.exe

MSExchangeMailSubmission.exe

GalGrammarGenerator.exe

MSExchangeRepl.exe

Inetinfo.exe

MSExchangeTransport.exe

Mad.exe

MSExchangeTransportLogSearch.exe

Microsoft.Exchange.AddressBook.Service.exe

MSExchangeThrottling.exe

Microsoft.Exchange.AntispamUpdateSvc.exe

Msftefd.exe

Microsoft.Exchange.ContentFilter.Wrapper.exe

Msftesql.exe

Microsoft.Exchange.EdgeSyncSvc.exe

OleConverter.exe

Microsoft.Exchange.Imap4.exe

Powershell.exe

Microsoft.Exchange.Imap4service.exe

SESWorker.exe

MSExchangeMailboxAssistants.exe

SpeechService.exe

Microsoft.Exchange.Monitoring.exe

Store.exe

Microsoft.Exchange.Pop3.exe

TranscodingService.exe

Microsoft.Exchange.Pop3service.exe

UmService.exe

Microsoft.Exchange.ProtectedServiceHost.exe

UmWorkerProcess.exe

Microsoft.Exchange.RPCClientAccess.Service.exe

W3wp.exe

Wenn Sie außerdem Forefront Protection für Exchange Server bereitstellen, schließen Sie die folgenden Prozesse aus.

 

Adonavsvc.exe

FscStatsServ.exe

FscController.exe

FscTransportScanner.exe

FscDiag.exe

FscUtility.exe

FscExec.exe

FsEmailPickup.exe

FscImc.exe

FssaClient.exe

FscManualScanner.exe

GetEngineFiles.exe

FscMonitor.exe

PerfmonitorSetup.exe

FscRealtimeScanner.exe

ScanEngineTest.exe

FscStarter.exe

SemSetup.exe

Sie sollten neben bestimmten Verzeichnissen und Prozessen auch die folgenden Exchange-spezifischen Dateinamenerweiterungen für den Fall ausschließen, dass ein Fehler bei den Verzeichnisausschlüssen auftritt oder Dateien aus ihren Standardspeicherorten verschoben werden.

Anwendungsbezogene Erweiterungen
  • CONFIG

  • DIA

  • WSB

Datenbankbezogene Erweiterungen

 

CHK

JRS

LOG

EDB

JSL

QUE

Erweiterungen, die sich auf das Offlineadressbuch beziehen
  • LZX

Inhaltsindexbezogene Erweiterungen

 

CI

WID

.001

DIR

.000

.002

Unified Messaging-bezogene Erweiterungen
  • CFG

  • GRXML

GroupMetrics
  • DSC

  • .bin

  • .xml

Forefront Protection für Exchange Server–bezogene Erweiterungen

 

.avc

.dt

.lst

.cab

.fdb

.mdb

CFG

.fdm

.ppl

CONFIG

.ide

.set

.da1

.key

.v3d

.dat

.klb

.vdb

.def

.kli

.vdm

Die für Forefront Protection für Exchange Server aufgeführten Dateinamenerweiterungen sind die Signaturdateien aus verschiedenen Antivirenverzeichnismodulen. In den meisten Fällen ändern sich diese Dateinamenerweiterungen nicht. Dateinamenerweiterungen können zukünftig jedoch hinzugefügt werden, wenn Drittanbieter von Antivirensoftware Antivirensignaturdateien aktualisieren.

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.
Anzeigen: