Antivirus y Exchange

How to Properly Configure File System Antivirus Software on Exchange Server

• Published: Oct 26, 2004
• Updated: Oct 26, 2004
• Section: Security & Message Hygiene
• Author: Dejan Foro
• Printable Version
• Adjust font size:
• Rating: 4.2/5 - 84 Votes

Improperly configured file system antivirus software on Exchange server can cause you serious problems. This article will show you how to properly configure file system antivirus software on Exchange server and avoid most common pitfalls.

Recently, while preparing for my presentation on Exchange disaster recovery planning for a Microsoft conference, I did some statistics on causes of Exchange server failures that I encountered in last 2 years.

And I came up with a quite surprising result: Over 50% of all support incidents we had were caused by - antivirus software!!! To be precise: improperly configured file system antivirus software.

The information in this article is applicable to all versions of Exchange Server and all types of file system antivirus software. It discusses a situation where we have an Exchange server with file system antivirus software and Exchange server antivirus software installed.

First part of this article points to existing resources particularly some Microsoft Knowledge base articles and the second part adds some additional information based on my professional working experience.

What you need to do when configuring your file system antivirus software is to exclude several Exchange server and related items from being scanned. There are already some Microsoft Knowledge Base Articles available on this subject:

Microsoft Knowledge Base Article – 328841
Exchange and antivirus software
http://support.microsoft.com/default.aspx?kbid=328841

Microsoft Knowledge Base Article – 823166
Overview of Exchange Server 2003 and antivirus software
http://support.microsoft.com/default.aspx?scid=kb;en-us;823166

In short here is the list of what should be excluded from scanning:

• The M: drive. (Exchange 2000)
• Exchange databases, logs and checkpoint files across all storage groups. By default, these are located in the Exchsrvr\Mdbdata folder.
• Exchange MTA files in the Exchsrvr\Mtadata folder.
• Directory Exchsrvr\server_name.log file which contains the tracking log.
• The Exchsrvr\Mailroot virtual server folder.
• The working folder that is used to store streaming temporary files that are used for message conversion. By default, this folder is located at \Exchsrvr\MDBData, but you can configure the location.
• The temporary folder that is used for offline database maintenance with Eseutil.exe and Isinteg utilities.
• Site Replication Service (SRS) files in the Exchsrvr\Srsdata folder.
• Microsoft Internet Information Service (IIS) system files in the %SystemRoot%\System32\Inetsrv folder.

Note that the list refers to the default file locations and that in production environment some of those elements for example database and log files can be found in different locations.

Fig 1: You can find log file locations in the Exchange Server Manager in Storage Group properties...

Fig 2: ...and the database locations (.edb and .stm files) in the Store properties

I believe that by just looking at the exclusion list above, you already have a picture of potential problems you can run into. If you don’t configure the exclusions you may run into one or more of the following problems:

• File system antivirus software accesses your database through M: drive letter as a file system and can “rip out” parts of the database causing database damages and often crash of your Exchange database. M: drive should also be excluded from your backup software. Ideally if you are not using the IFS (Installable File System) feature, you should disable the M: drive mapping. You can find how to disable M: drive in Microsoft Knowledge Base Article – 305145 How to remove the IFS mapping for Drive M in Exchange 2000 Server http://support.microsoft.com/default.aspx?scid=kb;en-us;305145
• Antivirus software can damage you database and log files, or even worse quarantine or delete database, log or checkpoint files, which will cause loss of data and your Exchange to crash.
• Items “disappearing” from public folders, calendars
• “Disappearing” e-mail messages,
• Problems with committing logs to the database
• Backup unable to remove log files after full backup
• Slow local and remote delivery,
• Damage your IIS server files (most often metabase.bin) causing different failures of Exchange related services: WWW, SMTP, POP3, IMAP, etc.

One of the things you will not find in those previously mentioned Microsoft articles is that you also must exclude:

The temporary folder of the Exchange server antivirus software.

If you don’t exclude the temporary folder of the Exchange server antivirus software the following scenario happens:

A virus comes to the Exchange server and antivirus for Exchange starts to process the data. However the file system antivirus will also spot the infected material in the temporary files of the Exchange antivirus and delete or quarantine those temporary files.

The Exchange server antivirus will of course crash and sometimes even cause the Microsoft Exchange Information Store service to crash as well.

Some Exchange antivirus softwares like for example Sophos MailMonitor prior to version 1.7 were unable to recover from such situation and you had to reinstall it.

Other Exchange server antivirus softwares, like for example, Symantec Mail Security are able to automatically recover from such situation but until you make the necessary exclusion in the file system antivirus, the crash is very likely to repeat and in the event log you will see events similar to this:

Event Type: Warning
Event Source: Symantec Mail Security for Microsoft Exchange
Event Category: Service
Event ID: 168
Date: 30.8.2004
Time: 11:28:07
User: N/A
Computer: MASMG
Description:
The process SAVFMSESp.exe was restarted.

Exchange server antivirus which is down (even only few seconds), will of course produce other problems: Your Exchange Server becomes unprotected and can be damaged by worms and viruses.

A typical example is where a worm damages the metabase.bin file which is a kind of “registry” for IIS. This causes a serial crash of IIS Admin and dependent services: IMAP, NNTP, MS Exchange Routing engine, and SMTP

Your Event log will contain entries similar to these:

Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7031
Date: 31.8.2004
Time: 15:42:10
User: N/A
Computer: MASMG
Description:
The IIS Admin Service service terminated unexpectedly. It has done this 1 time(s). The following corrective action will be taken in 1 milliseconds: Run the configured recovery program.

Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7034
Date: 31.8.2004
Time: 15:42:10
User: N/A
Computer: MASMG
Description:
The Microsoft Exchange IMAP4 service terminated unexpectedly. It has done this 1 time(s).

Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7034
Date: 31.8.2004
Time: 15:42:10
User: N/A
Computer: MASMG
Description:
The Network News Transfer Protocol (NNTP) service terminated unexpectedly. It has done this 1 time(s).

Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7034
Date: 31.8.2004
Time: 15:42:10
User: N/A
Computer: MASMG
Description:
The Microsoft Exchange Routing Engine service terminated unexpectedly. It has done this 1 time(s).

Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7034
Date: 31.8.2004
Time: 15:42:10
User: N/A
Computer: MASMG
Description:
The Simple Mail Transfer Protocol (SMTP) service terminated unexpectedly. It has done this 1 time(s).

Also if you telnet to port 25 (SMTP) you will notice that Exchange extended command verbs are missing: (see screenshots below) and you will most probably experience problems in messages delivery.

Fig 3: Normal response

Fig 4: Response of a damaged SMTP service

If you were unfortunate to run into situation like this, the only way to repair is to make a restore of System State data backup, or reinstall the server if you don’t have a backup.

Cuál es la importancia del Chipset en la reducción del TCO

Cuál es la importancia del Chipset en la reducción del TCO

Enviado por: Carlos Hurtado el Julio 11, 2007

Hola todos. Este es mi primer artículo en este blog y quise comenzar haciéndole un homenaje a un componente tristemente olvidado y de crucial importancia en todo computador: El Chipset. Para quienes no lo saben, el chipset usualmente consiste en un par de chips en la motherboard que se encargan de enlazar funciones vitales dentro de todo computador.

Si uds tomaran una motherboard de un PC convencional como la de la foto, a simple vista lo que podrían observar es el socket para la CPU, dos chips grandes con sus disipadores de energía, algo de electrónica discreta (capacitancias e inductancias) y conectores para memoria, discos, buses USB, energía, entre otros. Esos dos chips grandes son el chipset y aparte de la CPU son sin duda los componentes más importantes en la tarjeta madre. En otras palabras, una motherboard será tan buena como bueno sea su chipset.
El chipset es responsable de administrar un largo etcétera de características del computador. Para mencionar algunas está la cantidad de memoria soportada, su velocidad y su generación (DDR, DDR2 y próximamente DDR3), la cantidad de buses USB y su versión, la cantidad de discos soportados, si son Serial ATA ó eSATA y si el ancho de banda es 1.5 Gbps ó 3 Gbps. El chipset también suele incorporar la funcionalidad tipo RAID en los discos y la calidad del acelerador gráfico, define la cantidad de buses PCI Express y el grado de administración remota que permite el computador.
Dicho de otra manera, si el procesador es el cerebro de un computador, el chipset es su sistema nervioso.
Pero el asunto no termina ahí. Para que el hardware interactúe adecuadamente con el software existen unos programas llamados drivers. Estos son responsables de lograr que el hardware y el software operen armónicamente y en últimas de lograr que toda la plataforma sea un sistema estable. Una plataforma como Centrino incluye más de 1 Millón de líneas de código escritas por Intel, incluidos drivers y herramientas para una gran experiencia en movilidad. A menudo, las odiosas pantallas azules no se atribuyen a bugs en el sistema operativo sino a incompatibilidad de versiones entre chipset, drivers y sistema operacional.
Y eso es importante en un PC empresarial? Por supuesto. Es de crucial importancia. La inestabilidad en un PC origina pérdidas de productividad para el usuario final y eleva los costos de soporte para IT. Entre menos pantallas azules y menos visitas deban hacerse al escritorio por reparaciones mucho mejor. Adoptar prácticas adecuadas en la adquisición de PCs puede ayudar a disminuir el TCO dramáticamente y así liberar recursos bien sea para ahorro o para inversión en innovación de IT. Estas son formas como IT crea valor para al negocio.
Por todo esto, a menudo aconsejo a nuestros clientes decidir cuál debe ser el chipset de sus equipos antes incluso de decidir cuál será el procesador. Intel desarrolla tanto procesadores como chipsets y drivers, para mejorar la estabilidad de la plataforma en su integralidad. De hecho, para el segmento empresarial Intel recomienda adoptar las prácticas de plataforma de imagen estable (Intel Stable Image Platform Program - SIPP) que será motivo de artículo posterior.

Como comenté, Intel fabrica chipsets y desarrolla los drivers y aplicaciones requeridas para el buen funcionamiento de una plataforma, particularmente crítico en el segmento empresarial donde se tiene que administrar una flota de PCs posiblemente dispersa. El hecho de que un solo fabricante desarrolle la plataforma es mejor garantía de estabilidad que diferentes fabricantes desarrollando diferentes componentes de la plataforma. Dentro de la práctica SIPP Intel recomienda un chipset en particular dentro de una familia de chipsets. Hoy los chipsets recomendados para el PC de segmento empresarial son Q963 y Q965 que pronto serán reemplazados por sus sucesores, Q33 y Q35. Para equipos portátiles hoy se recomienda el 945GM, posteriormente será el GM965.
En resumen, mis consejos son: Primero, nunca comprar PCs ó portátiles sin antes haber escogido el chipset de su computador ya sea para la casa o la oficina y segundo acogerse a las recomendaciones del programa de plataforma estable SIPP.
Algunas herramientas que pueden resultarles útiles son:
Cómo identificar el tipo de chipset Intel para sus equipos: haga click acá ó busque el texto “Intel Chipset Identification Utility” dentro de la web de Intel.

Cómo se comparan diferentes productos de Intel incluidos los chipsets: http://compare.intel.com

Fuente: http://blogs.intel.com/latininsights/2007/07/cual_es_la_importancia_del_chi.php

Entendiendo el Abanico de Procesadores

Entendiendo el Abanico de Procesadores

Enviado por: Sebastian Szocs el Junio 19, 2007

En el ultimo tiempo con el arribo de tecnologías dentro de los procesadores intel, hemos cambiado mucho nuestras ofertas y las diferentes familias y modelos dentro de cada familia, entonces para echarle un poco de claridad al asunto he aquí mi explicación…
Las familias Pentium 4 y Pentium D, junto con Celeron D, están basados en la micro arquitectura NetBurst que ya cumplió su ciclo, por lo cual esta siendo reemplazada con nuevos productos ya sea de Core 2 Duo o de Pentium Dual Core, así también como la renovación de Celeron, sin la “d” en su nombre pero mejorado en sus capacidades.

Entonces como quedaría la alineación en Desktop:
Core 2 Quad Q6XXX, Core 2 Duo E6XXX, Core 2 Duo E4XXX, Pentium Dual Core E2XXX, Celeron 4XX

Déjenme contarles un poco de cada una…

Core 2 Quad es la primer familia de CUATRO núcleos que sale al mercado de las PCs de escritorio y le da a Intel un año de ventaja sobre otras empresas y mas de un millón de unidades en el mercado, creciendo en modelos y velocidades.
Lo básico de esa familia es 4 núcleos, 1066 Mhz de FSB y no menos de 4 megas de Cache L2 y basado en la exitosa arquitectura Core.

Core 2 Duo E6XXX es la familia de Core 2 Duo lanzada en Junio del 2006, que cuenta con la arquitectura Core y cuenta con no menos de 1066 de FSB, hasta 4 megas de cache L2 y diferentes velocidades de clock.

Core 2 Duo E4XXX tiene menos características en lo que a FSB y Cache respectan pero también están basados en la arquitectura Core. Tengan en cuenta que tiene menos rendimiento que la familia E6XXX ya que no tiene tanto cache ni FSB y eso si hace a la diferencia en esta arquitectura Core.

Pentium Dual Core, es la familia que reemplaza a Pentium 4 sobre todo, tiene 2 núcleos así como el resto de las familias que repasamos, menos FSB que la familia 4XXX y menos cache que la anterior también, pero cuenta con algunas, no todas, las características de la arquitectura Core justamente para que la familia Core 2 Duo siga siendo la mas alta en doble procesamiento.
Por ultimo, pero no menos importante, Celeron (sin la D) 4XX… single core, ya que Celeron siempre esta entre 1 y 2 años mas atrás que las familias altas dentro de Core 2 Duo, pero así y todo bajamos su clock y mejoramos su arquitectura para comenzar ese cambio de 1 o 2 años con respecto a su familia anterior, 3XX…
Entonces, que diferencias en rendimiento tenemos entre los procesadores?

Lo que hacemos con un Quad Core en 10 minutos, lo hacemos con Core 2 Duo E6XXX toma 15, toma 20 en E4xxx y toma 30 en Pentium Dual Core y por ultimo toma 40 en Celeron… esto es 100% a grandes rasgos y sin tomar un benchmark de mercado, pero para eso los invito a visitar http://www.intel.com/performance, para tener una idea mucho mas clara de el rendimiento de cada procesador y cada característica.

Pero el mensaje es para todos aquellos que quieran máximo rendimiento, Core 2 Quad, los que quieran alto rendimiento Core 2 Duo E6XXX, los que quieran Buen Rendimiento, Core 2 Duo E4XXX y para los que quieran un buen PC, Pentium Dual Core y para usuarios básicos, Celeron 4XX.

Todos estos procesadores están basados en el proceso de manufactura de 65Nm y soportados por los chipsets 3 (que les contaremos en otro capitulo del Blog), 965, 946 y 945 dependiendo de cada Motherboard…
Para mas información sobre el soporte de productos para escritorio y la compatibilidad con cada chipset los invito a visitar http://support.intel.com/support/motherboards/desktop.
Sin mas les dejo un saludo! Sebastian!

Fuente : http://blogs.intel.com/latininsights/2007/06/entendiendo_el_abanico_de_proc.php