在 Exchange 服务器上运行 Windows 防病毒软件
在 Microsoft Exchange 服务器上运行 Windows 防病毒程序时,可帮助增强 Exchange 组织的安全性和运行状况。 但是,如果未正确配置,Windows 防病毒程序可能会导致Exchange Server出现问题。
任何 Windows 防病毒程序均有两个基本组件:
内存常驻扫描或实时保护监视已加载并在计算机的活动内存中运行的所有文件和进程。
文件级扫描是指手动或按计划检查硬盘上的文件是否具有病毒。 某些防病毒程序会在病毒签名更新后自动开始按需扫描,以确保使用最新的签名扫描所有文件。
最大的潜在问题是,Windows 防病毒程序可能会锁定或隔离 Exchange 需要修改的打开的日志文件或数据库文件。 这可能会导致Exchange Server出现严重故障,还可能会生成 1018 事件日志错误。 因此,必须将这些文件排除在外,不让 Windows 防病毒程序对其进行扫描。
另一个问题是,Windows 防病毒程序无法替换基于电子邮件的反垃圾邮件和反恶意软件解决方案,因为在 Windows 服务器上运行的 Windows 防病毒程序无法检测仅通过电子邮件分发的病毒、恶意软件和垃圾邮件。
Exchange 服务器上的 Windows 防病毒程序的建议排除项
在 Exchange 服务器上部署 Windows 防病毒程序时,请确保为内存驻留和文件级扫描配置了这些部分中介绍的文件夹排除、进程排除和文件扩展名排除。
注意: %ExchangeInstallPath% 值通常 C:\Program Files\Microsoft\Exchange Server\V15\ (包括尾随“\”) , %SystemRoot% 值通常 C:\Windows (不包含尾随“\”) , 并且 %SystemDrive% 值通常 C: (不包含尾随“\”) 。
其中许多 Exchange 文件夹的位置可在 Exchange 命令行管理程序中配置。 若要了解如何在本地 Exchange 组织中打开 Exchange 命令行管理程序,请参阅 Open the Exchange Management Shell。
注意
请注意,在 Exchange 服务器上使用第三方安全软件可能会引入意外行为,即使遵循此页面上的指南也是如此。 排查此类问题时,Microsoft 可能会建议在故障排除期间暂时禁用或卸载此类软件。
文件夹排除
从 Exchange 服务器上的文件级扫描和内存驻留扫描中排除以下文件夹。
注意
统一消息在 Exchange 2019 中不可用。
| Folder | 类别 | 说明 | 服务器 |
|---|---|---|---|
%SystemRoot%\Cluster |
DAG | 群集仲裁数据库和数据库可用组 (DAG) 的其他文件。 | 邮箱服务器 |
%SystemDrive%\DAGFileShareWitnesses\<DAGFQDN> |
DAG | 见证服务器上为 DAG 配置的见证目录。 见证服务器几乎可以是本地 Active Directory 林中尚不是 DAG 成员的任何 Microsoft Windows 服务器。 若要查看实际位置,请运行以下命令: |
任何 |
%ExchangeInstallPath%ClientAccess\OAB |
脱机通讯簿 | 脱机通讯簿文件。 | 邮箱服务器 |
%ExchangeInstallPath%FIP-FS |
反恶意软件和 DLP | 由恶意软件代理和数据丢失预防 (DLP) 使用的内容扫描。 | 邮箱服务器 |
%ExchangeInstallPath%GroupMetrics |
MailTips | 用于计算大量观众和外部收件人邮件提醒的值的组度量文件。 | 邮箱服务器 |
%ExchangeInstallPath%Logging |
Exchange 流程日志 | 此文件夹包含子文件夹中许多不同类型的 Exchange 日志。 例如:
若要查看实际位置,请运行以下命令: |
邮箱服务器 |
%ExchangeInstallPath%Mailbox |
邮箱数据库 | Exchange 数据库、检查点文件和日志文件。 默认情况下,这些文件位于基于数据库名称的子文件夹中。 若要查看实际位置,请运行以下命令: Get-MailboxDatabase -Server \ServerName> | Format-List EdbFilePath,LogFolderPath 默认情况下,数据库上下文索引文件位于与数据库文件相同的文件夹中,即以数据库 GUID 命名的子文件夹中。 |
邮箱服务器 |
%ExchangeInstallPath%TransportRoles\Data\Adam |
EdgeSync | Active Directory 轻型目录服务 (AD LDS) 和日志文件。 | 边缘传输服务器 |
%ExchangeInstallPath%TransportRoles\Data\IpFilter |
连接筛选 | IP 筛选器数据库、检查点和日志文件。 | 边缘传输服务器 |
%ExchangeInstallPath%TransportRoles\Data\Queue |
队列 | 队列数据库、检查点和日志文件。 | 邮箱服务器 边缘传输服务器 |
%ExchangeInstallPath%TransportRoles\Data\SenderReputation |
发件人信誉 | 发件人信誉数据库、检查点和日志文件。 | 边缘传输服务器 邮箱服务器 |
%ExchangeInstallPath%TransportRoles\Data\Temp |
内容转换 | 在传输管道中完成的内容转换。 | 邮箱服务器 边缘传输服务器 |
%ExchangeInstallPath%TransportRoles\Logs |
传输日志 | 邮件流和传输管道日志位于子文件夹中,例如:
若要查看实际位置,请运行以下命令: |
邮箱服务器 边缘传输服务器(仅传输服务) |
%ExchangeInstallPath%TransportRoles\Pickup |
拾取目录 | 拾取目录由管理员用来测试邮件流,或由需要创建并提交各自的邮件文件的应用程序使用。 若要查看实际位置,请运行以下命令: |
邮箱服务器 边缘传输服务器 |
%ExchangeInstallPath%TransportRoles\Replay |
重播目录 | 重播目录不仅可从外部网关服务器接收邮件,也可用于重新提交管理员从 Exchange 服务器队列导出的邮件。 若要查看实际位置,请运行以下命令: |
邮箱服务器 边缘传输服务器 |
%ExchangeInstallPath%UnifiedMessaging\Grammars |
统一消息 | 不同区域设置的语法文件,例如 en-EN 或 es-ES。 | Exchange 2016 邮箱服务器 |
%ExchangeInstallPath%UnifiedMessaging\Prompts |
统一消息 | 语音提示、问候语和信息性消息文件。 | Exchange 2016 邮箱服务器 |
%ExchangeInstallPath%UnifiedMessaging\Temp |
统一消息 | 统一消息生成的临时文件。 | Exchange 2016 邮箱服务器 |
%ExchangeInstallPath%UnifiedMessaging\Voicemail |
统一消息 | 临时存储的语音邮件文件。 | Exchange 2016 邮箱服务器 |
%ExchangeInstallPath%Working\OleConverter |
内容转换 | 传输中性编码格式 (TNEF),也称为富文本格式 (RTF),到 MIME/HTML 转换。 | 邮箱服务器 边缘传输服务器 |
%SystemDrive%\inetpub\temp\IIS Temporary Compressed Files |
Web 组件 | 使用 Web 上的 Outlook 的 Internet Information Services (IIS) 压缩文件夹。 | 邮箱服务器 |
%SystemRoot%\Temp\OICE_<GUID> |
Exchange 搜索 | 由 Exchange Search 服务和 Microsoft Filter Pack 在沙盒环境中执行文件转换时使用的临时文件。 | 邮箱服务器 |
进程排除
许多防病毒程序都支持进程扫描,如果扫描错误进程,可能对 Microsoft Exchange 带来负面影响。 因此,应从进程扫描中排除以下 Exchange 或相关进程。
| 流程 | Path | Comments | 服务器 |
|---|---|---|---|
| ComplianceAuditService.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange 合规性审核服务 (MSComplianceAudit) | 邮箱服务器 |
| Dsamain.exe | %SystemRoot%\System32 |
Microsoft Exchange ADAM 服务 (ADAM_MSExchange)(已订阅边缘传输服务器上的 Active Directory 轻型目录服务 (AD LDS)) | 边缘传输服务器 |
| EdgeTransport.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange 传输服务工作进程 | 邮箱服务器 边缘传输服务器 |
| fms.exe | %ExchangeInstallPath%FIP-FS\Bin |
恶意软件代理和 DLP 使用的内容扫描组件。 | 邮箱服务器 |
| hostcontrollerservice.exe | %ExchangeInstallPath%Bin\Search\Ceres\HostController |
Microsoft Exchange 搜索主机控制器服务 (HostControllerService) | 邮箱服务器 |
| inetinfo.exe | %SystemRoot%\System32\inetsrv |
Internet Information Services (IIS) | 邮箱服务器 |
| Microsoft.Exchange.AntispamUpdateSvc.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange 反垃圾邮件更新服务 (MSExchangeAntispamUpdate) | 邮箱服务器 边缘传输服务器 |
| Microsoft.Exchange.ContentFilter.Wrapper.exe | %ExchangeInstallPath%TransportRoles\agents\Hygiene |
内容筛选器代理 | 邮箱服务器 边缘传输服务器 |
| Microsoft.Exchange.Diagnostics.Service.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange 诊断服务 (MSExchangeDiagnostics) | 邮箱服务器 边缘传输服务器 |
| Microsoft.Exchange.Directory.TopologyService.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange Active Directory 拓扑服务 (MSExchangeADTopology) | 邮箱服务器 |
| Microsoft.Exchange.EdgeCredentialSvc.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange 凭据服务 (MSExchangeEdgeCredential) | 边缘传输服务器 |
| Microsoft.Exchange.EdgeSyncSvc.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange EdgeSync 服务 (MSExchangeEdgeSync) | 邮箱服务器 |
| Microsoft.Exchange.Imap4.exe | %ExchangeInstallPath%FrontEnd\PopImap |
Microsoft Exchange IMAP4 服务 (MSExchangeImap4) | 邮箱服务器 |
| Microsoft.Exchange.Imap4service.exe | %ExchangeInstallPath%ClientAccess\PopImap |
Microsoft Exchange IMAP4 后端服务 (MSExchangeIMAP4BE) | 邮箱服务器 |
| Microsoft.Exchange.Notifications.Broker.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange 通知代理服务 (MSExchangeNotificationsBroker) | 邮箱服务器 |
| Microsoft.Exchange.Pop3.exe | %ExchangeInstallPath%FrontEnd\PopImap |
Microsoft Exchange POP3 服务 (MSExchangePop3) | 邮箱服务器 |
| Microsoft.Exchange.Pop3service.exe | %ExchangeInstallPath%ClientAccess\PopImap |
Microsoft Exchange POP3 后端服务 (MSExchangePOP3BE) | 邮箱服务器 |
| Microsoft.Exchange.ProtectedServiceHost.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange 服务主机服务 (MSExchangeServiceHost) | 邮箱服务器 边缘传输服务器 |
| Microsoft.Exchange.RPCClientAccess.Service.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange RPC 客户端访问服务 (MSExchangeRPC) | 邮箱服务器 |
| Microsoft.Exchange.Search.Service.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange 搜索服务 (MSExchangeFastSearch) | 邮箱服务器 |
| Microsoft.Exchange.Servicehost.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange 服务主机服务 (MSExchangeServiceHost) | 邮箱服务器 边缘传输服务器 |
| Microsoft.Exchange.Store.Service.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange 信息存储服务 (MSExchangeIS) | 邮箱服务器 |
| Microsoft.Exchange.Store.Worker.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange 信息存储服务工作进程 | 邮箱服务器 |
| Microsoft.Exchange.UM.CallRouter.exe | %ExchangeInstallPath%FrontEnd\CallRouter |
Microsoft Exchange 统一消息呼叫路由器服务 (MSExchangeUMCR) | Exchange 2016 邮箱服务器 |
| MSExchangeCompliance.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange 合规性服务 (MSExchangeCompliance) | 邮箱服务器 |
| MSExchangeDagMgmt.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange DAG 管理服务 (MSExchangeDagMgmt) | 邮箱服务器 |
| MSExchangeDelivery.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange 邮箱传输交付服务 (MSExchangeDelivery) | 邮箱服务器 |
| MSExchangeFrontendTransport.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange 前端传输服务 (MSExchangeFrontEndTransport) | 邮箱服务器 |
| MSExchangeHMHost.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange 运行状况管理器服务 (MSExchangeHM) | 邮箱服务器 边缘传输服务器 |
| MSExchangeHMWorker.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange 运行状况管理器服务工作进程 | 邮箱服务器 边缘传输服务器 |
| MSExchangeMailboxAssistants.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange 邮箱助理服务 (MSExchangeMailboxAssistants) | 邮箱服务器 |
| MSExchangeMailboxReplication.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange 邮箱复制服务 (MSExchangeMailboxReplication) | 邮箱服务器 |
| MSExchangeRepl.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange 复制服务 (MSExchangeRepl) | 邮箱服务器 |
| MSExchangeSubmission.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange 邮箱传输提交服务 (MSExchangeSubmission) | 邮箱服务器 |
| MSExchangeTransport.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange 传输服务 (MSExchangeTransport) | 邮箱服务器 边缘传输服务器 |
| MSExchangeTransportLogSearch.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange 传输日志搜索服务 (MSExchangeTransportLogSearch) | 邮箱服务器 边缘传输服务器 |
| MSExchangeThrottling.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange 限制服务 (MSExchangeThrottling) | 邮箱服务器 |
| Noderunner.exe | %ExchangeInstallPath%Bin\Search\Ceres\Runtime\1.0 |
Microsoft Exchange 搜索服务 (MSExchangeFastSearch) | 邮箱服务器 |
| OleConverter.exe | %ExchangeInstallPath%Bin |
将富文本格式 (RTF) 邮件转换为 MIME/HTML 以供外部收件人查看。 | 邮箱服务器 |
| ParserServer.exe | %ExchangeInstallPath%Bin\Search\Ceres\ParserServer |
Microsoft Exchange 搜索服务 (MSExchangeFastSearch) | 邮箱服务器 |
| ScanEngineTest.exe | %ExchangeInstallPath%FIP-FS\Bin |
恶意软件代理和 DLP 使用的内容扫描组件 | 邮箱服务器 |
| ScanningProcess.exe | %ExchangeInstallPath%FIP-FS\Bin |
恶意软件代理和 DLP 使用的内容扫描组件 | 邮箱服务器 |
| UmService.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange 统一消息服务 (MSExchangeUM) | Exchange 2016 邮箱服务器 |
| UmWorkerProcess.exe | %ExchangeInstallPath%Bin |
Microsoft Exchange 统一消息服务工作进程 | Exchange 2016 邮箱服务器 |
| UpdateService.exe | %ExchangeInstallPath%FIP-FS\Bin |
恶意软件代理和 DLP 使用的内容扫描组件 | 邮箱服务器 |
| wsbexchange.exe | %ExchangeInstallPath%Bin |
用于 Windows Server 备份 (wsbexchange) 的 Microsoft Exchange 服务器扩展 | 邮箱服务器 |
文件扩展名排除
除了排除特定文件夹和进程外,还应排除以下特定于 Exchange 的文件扩展名,以防文件夹排除失败或文件从其默认位置移动。
| 扩展 | 说明 | 服务器 |
|---|---|---|
| .config | 与应用程序有关的扩展名 | 邮箱服务器 边缘传输服务器 |
| .chk .edb .jfm .jrs 。日志 。雀 |
与数据库有关的扩展名 | 邮箱服务器 边缘传输服务器 |
| 。Dsc .txt |
与组度量标准有关的扩展名 | 邮箱服务器 |
| 。Cfg .grxml |
与统一消息有关的扩展名 | Exchange 2016 邮箱服务器 |
| 。Lzx | 与脱机通讯簿有关的扩展名 | 邮箱服务器 |