Неправильно сконфигурированное антивирусное программное обеспечение для проверки файловой системы на сервере Exchange может создать Вам серьёзные проблемы. Эта статья покажет Вам как правильно сконфигурировать антивирусное программное обеспечение для проверки файловой системы на сервере Exchange и избежать большинства распространённых ошибок.
Недавно во время приготовлений к моей презентации по планированию восстановления от крахов Exchange (для конференции Microsoft), я собрал некоторую статистику по причинам сбоев сервера Exchange, с которыми я столкнулся за последние 2 года.
И я пришёл к весьма удивительному результату: мы имеем более 50% всех подтверждённых инцидентов, вызванных антивирусным программным обеспечением!!! Чтобы быть точным: неправильно сконфигурированным антивирусным программным обеспечением для проверки файловой системы.
Информация из этой статьи применима для всех версий сервера Exchange и для всех типов антивирусного программного обеспечения для проверки файловой системы. Здесь обсуждается ситуация, когда у нас есть сервер Exchange с антивирусным программным обеспечением для проверки файловой системы и антивирусное программное обеспечение установлено на сервере Exchange.
Первая часть этой статьи обращается к существующим ресурсам, особенно к ряду статей из Microsoft Knowledge base (база знаний Microsoft), а вторая часть добавляет некоторую дополнительную информацию, базирующуюся на моём профессиональном опыте.
Исключить некоторые элементы сервера Exchange и связанные элементы из процесса сканирования-вот то, что Вам нужно сделать при конфигурировании антивируса файловой системы. По этой теме уже доступны несколько статей из Microsoft Knowledge Base:
Microsoft Knowledge Base статья — 328841
Exchange и антивирусное программное обеспечение
http://support.microsoft.com/default.aspx?kbid=328841
Microsoft Knowledge Base статья — 823166
Обзор Exchange Server 2003 и антивирусного программного обеспечения
http://support.microsoft.com/default.aspx?scid=kb;en-us;823166
В кратце вот список того, что должно быть исключено из сканирования:
- Диск M:. (Exchange 2000)
- Базы данных Exchange, файлы регистраций(logs) и контрольных точек(checkpoint files) из всех групп хранения(storage groups). По умолчанию всё это расположено в папке Exchsrvr\Mdbdata.
- Файлы Exchange MTA в папке Exchsrvr\Mtadata.
- В директории Exchsrvr\server_name.log(файл, который содержит следящий файл регистраций(tracking log)).
- Виртуальная папка сервера Exchsrvr\Mailroot.
- Рабочая папка, которая используется для сохранения потоковых временных файлов, используемых для преобразования сообщений. По умолчанию эта папка расположена в \Exchsrvr\MDBData, но Вы можете изменять её место расположения.
- Временную папку, которая используется для автономного обслуживания баз данных утилитами Eseutil.exe и Isinteg.
- Файлы Site Replication Service (SRS) в папке Exchsrvr\Srsdata.
- Системные файлы Microsoft Internet Information Service (IIS) в папке %SystemRoot%\System32\Inetsrv.
Обратите внимание, что список относится к заданным по умолчанию местоположениям файлов и в полученной среде некоторые из вышеуказанных элементов, например базы данных или log-файлы, могут находиться в разных местоположениях.
Я надеюсь, что только взглянув на вышеуказанный список исключений, Вы уже имеете картину потенциальных проблем, с которыми Вы можете столкнуться. Если Вы не сконфигурируете исключения, то можете столкнуться с одной или несколькими из следующих проблем:
- Антивирусное программное обеспечение для проверки файловой системы обращается к Вашей базе данных через имя диска M: как к файловой системе и может «вырывать(rip out)» части базы данных, вызывая её повреждения, что часто обрушивает Вашу базу данных Exchange. Диск M: дополнительно должен быть исключён из Вашего программного обеспечения резервного копирования. В идеале, если Вы не используете средство IFS (устанавливаемую файловую систему), Вы должны отключить отображение диска M: (drive mapping). Вы можете узнать, как отключить диск M:, в статье из Microsoft Knowledge Base — 305145 Как убрать отображение IFS для Диска M в Exchange 2000 Server http://support.microsoft.com/default.aspx?scid=kb;en-us;305145
- Антивирусное программное обеспечение может повредить Вашу базу данных и файлы log, или, что ещё хуже, поставить на карантин или стереть базу данных, файлы регистраций(log) или контрольных точек(checkpoint), что вызовет потерю данных и Ваш Exchange обрушивается.
- «Исчезающие» элементы из папок public, календарей
- «Исчезающие» сообщения электронной почты,
- Проблемы с передачей регистраций(logs) в базу данных
- Резервное копирование неспособно удалить журналы(log files) после полного восстановления(backup)
- Замедленная локальная и удалённая доставка(delivery),
- Повреждение Ваших серверных файлов IIS(чаще всего metabase. bin), что вызывает различные сбои в связанных сервисах Exchange: WWW, SMTP, POP3, IMAP и т. д..
Одна из вещей, которую Вы не найдёте в вышеупомянутых статьях Microsoft- Вы также должны исключить:
Временную папку антивирусного программного обеспечения сервера Exchange.
Если Вы не исключите временную папку антивирусного программного обеспечения сервера Exchange, то события будут развиваться по следующему сценарию:
Вирус проникает в сервер Exchange и антивирус для Exchange начинает проверять данные. Однако, антивирус файловой системы также будет выдавать инфицированный материал во временные файлы антивируса Exchange и стирать или ставить на карантин эти временные файлы.
Антивирус сервера Exchange обязательно рухнет и дополнительно заставит обрушиться сервис Microsoft Exchange Information Store в ряде случаев.
Некоторые антивирусы Exchange, такие как, например, Sophos MailMonitor до версии 1.7, были не в состоянии восстановиться из таких ситуаций и Вам приходилось их переустанавливать.
Другие антивирусы сервера Exchange, например, Symantec Mail Security, могут автоматически восстанавливаться из таких ситуаций, но пока Вы делаете необходимое исключение в антивирусе файловой системы, крах наверняка повторится и в списке событий Вы увидете события вроде этих:
Event Type: Warning(тип события:предупреждение)
Event Source: Symantec Mail Security for Microsoft Exchange(источник события)
Event Category: Service(категория события:сервис)
Event ID: 168(ID события)
Date: 30.8.2004
Time: 11:28:07
User: N/A
Computer: MASMG
Description: (описание)
The process SAVFMSESp.exe was restarted.(Процесс SAVFMSESp.exe был перезапущен.)
Антивирус сервера Exchange, который отключается (даже всего на несколько секунд), безусловно создаст другие проблемы: Ваш сервер Exchange становится незащищённым и может быть повреждён червями(саморазмножающимися вирусами) и вирусами.
Типичный пример- червь повреждает файл metabase. bin, который является чем-то типа системного реестра («registry») для IIS. Это вызывает последовательность крахов IIS Admin и зависимых сервисов: IMAP, NNTP, MS Exchange Routing engine и SMTP
Ваш Event log(журнал событий) будет содержать записи подобные таким:
Event Type: Error(тип события: ошибка)
Event Source: Service Control Manager(источник ошибки:менеджер контроля сервиса)
Event Category: None(категория события:нет)
Event ID: 7031
Date: 31.8.2004
Time: 15:42:10
User: N/A
Computer: MASMG
Description: (описание)
The IIS Admin Service service terminated unexpectedly. It has done this 1 time(s). The following corrective action will be taken in 1 milliseconds: Run the configured recovery program. (Сервис IIS Admin Service внезапно остановлен(terminated unexpectedly). Это было сделано 1 раз. Следующее корректирующее воздействие будет предпринято через 1 миллисекунду: Запустите сконфигурированную программу восстановления.)
Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7034
Date: 31.8.2004
Time: 15:42:10
User: N/A
Computer: MASMG
Description:
The Microsoft Exchange IMAP4 service terminated unexpectedly. It has done this 1 time(s). (Сервис Microsoft Exchange IMAP4 внезапно остановлен. Это было сделано 1 раз.)
Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7034
Date: 31.8.2004
Time: 15:42:10
User: N/A
Computer: MASMG
Description:
The Network News Transfer Protocol (NNTP) service terminated unexpectedly. It has done this 1 time(s). (Сервис News Transfer Protocol (NNTP) внезапно остановлен. Это было сделано 1 раз.)
Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7034
Date: 31.8.2004
Time: 15:42:10
User: N/A
Computer: MASMG
Description:
The Microsoft Exchange Routing Engine service terminated unexpectedly. It has done this 1 time(s). (Сервис Microsoft Exchange Routing Engine внезапно остановлен. Это было сделано 1 раз.)
Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7034
Date: 31.8.2004
Time: 15:42:10
User: N/A
Computer: MASMG
Description:
The Simple Mail Transfer Protocol (SMTP) service terminated unexpectedly. It has done this 1 time(s). (Сервис Simple Mail Transfer Protocol (SMTP) внезапно остановлен. Это было сделано 1 раз.)
Также, если Вы выполните команду telnet в порт 25 (SMTP), то получите уведомление, что расширенные команды Exchange пропущены: (смотрите скриншоты ниже) и Вы скорее всего получите проблемы с доставкой сообщений.
Если Вам «посчастливилось» столкнуться с подобной ситуацией, то единственная возможность исправить это — выполнить восстановление с резервной копии данных System State или придётся переустанавливать сервер, если у Вас нет резервной копии.
