Exchange 2016/2019: Outlook-Probleme durch AMSI-Integration

[English]Kurzer Hinweis für Administratoren eines Microsoft Exchange Server 2016/2019. Mit CU21 (Exchange 2016) und CU10 (Exchange 2019) wurde eine AMSI-Integration eingeführt, um Virenscanner von Drittanbietern zu unterstützen. Diese Integration führt aber mit diversen Antivirus-Scannern zu heftigen Problemen mit Outlook.


Anzeige

CU10/CU21 und die AMSI-Integration

Ich hatte im Blog-Beitrag Kumulative Exchange Updates Juni 2021 veröffentlicht darauf hingewiesen, dass Microsoft die kumulativen Quartalsupdates für Exchange Server erst zum 29. Juni 2021 freigegeben hat. Es wurden folgende CUs veröffentlicht:

  • Exchange Server 2019 Cumulative Update 10 (KB5003612)
  • Exchange Server 2016 Cumulative Update 21 (KB5003611)

Die Download-Adressen sind im oben verlinkten Blog-Beitrag angegeben. Microsoft hatte bei der Vorstellung der kumulativen Quartalsupdates für Exchange Server darauf hingewiesen, dass diese eine neue Exchange Server-Integration mit AMSI (Antimalware Scan Interface) einführen. Die AMSI-Integration in Exchange Server bietet einer AMSI-fähigen Antiviren-/Antimalware-Lösung die Möglichkeit, Inhalte in HTTP-Anfragen, die an Exchange Server gesendet werden, zu scannen und eine bösartige Anfrage zu blockieren, bevor sie von Exchange Server verarbeitet wird. Der Scan wird in Echtzeit von jeder AMSI-fähigen Antiviren-/Antimalware-Lösung durchgeführt, die auf dem Exchange Server läuft, sobald der Server mit der Verarbeitung der Anfrage beginnt. Die Details lassen sich im Blog-Beitrag Kumulative Exchange Updates Juni 2021 veröffentlicht und auf den verlinkten Microsoft-Seiten nachlesen.

Die AMSI-Integration macht Probleme

Nun schaut es aber so aus, als ob genau diese AMSI-Integration Probleme mit diversen Drittanbieter Antivirus-Scannern verursachen kann. Geht man auf allestoerungen.de, beklagen sich Nutzer, dass Outlook "seit Tagen" nicht mehr richtig funktioniere.  Hätte ich jetzt keine wirkliche Bedeutung beigemessen, da dort ein Sammelsurium aus unterschiedlichen Problemursachen zu finden ist. Aber Blog-Leser Tom hat mich per Mail sowie in diesem Kommentar auf das Thema hingewiesen (danke dafür). Ich hatte es nicht mitbekommen, aber  Frank Zöchling hat es auf FrankysWeb in diesem Artikel Anfang Juli 2021 angerissen.

Nach Aussagen von Zöchling kommt es bei Verwendung diverser Antivirus-Scannern in Verbindung mit Microsoft Outlook mitunter zu schweren Problemen. Die Beobachtung zeichnet ein Fehlerbild, dass die Verbindung von Outlook mit dem Exchange Server mitunter extrem langsam wird. Infolge ist ein Arbeiten mit Outlook nicht mehr möglich.Auch wurde beobachtet, dass der Start von Outlook kann mehrere Minuten dauern kann. Zudem wird gemeldet, dass Outlook Immer wieder nicht reagiert (spezielle, wenn der Cache-Mode abgeschaltet ist).


Anzeige

Frank nennt explizit den McAfee Endpoit Security Client, der diese Fehlerbilder verursacht. Wird der AMSI-Scan durch den McAfee Endpoit Security Client vom Administrator deaktiviert, sind die beobachteten Probleme wieder weg. Als zweiter externer Virenscanner wird Sophos Intercept X for Server genannt. Auch dort kommt es beim AMSI-Scan zu derartigen Problemen.

Wie es scheint, ist nur Microsoft Outlook, nicht aber OWA, EWS und ActiveSync betroffen. Als Workaround schlägt Frank das Abschalten des AMSI-Scans in den betreffenden Virenscannern vor. Ist jemand von euch von diesem Problem betroffen. Details zu diesem Thema sind in Franks Artikel nachzulesen.

Ergänzung: Die erste Rückmeldung eines Lesers erreicht mich über Facebook. Der Leser berichtete folgendes:

Ich kann das leider bestätigen. In einer Umgebung mit etwas mehr als 100 Usern kam es seit heute morgen zu extremen Performanceproblemen auf dem Exchange. AV Software ist AVAST Business. 2016 CU21 habe ich dort am Freitag installiert. Nach Neustart des Information Service läuft es nun seitdem (ca. 4h) wieder normal. Ich beobachte weiter.

Klingt, neben den Installationsproblemen, alles nicht so sonderlich positiv, was Microsoft da abgeliefert hat.

Ähnliche Artikel:
Kumulative Exchange Updates Juni 2021 veröffentlicht
Epsilon Red Ransomware zielt auf ungepatchte Exchange Server
Microsoft 365-Bug: Mails aus Exchange Online und Outlook landen im Spam-Ordner
Microsoft Exchange Admin-Portal wegen ausgelaufenem Zertifikat blockiert
PoC für den von der NSA entdeckten Microsoft Exchange-Bug öffentlich
Exchange Update-Fehler und -Infos (13. April 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Exchange Server Security Update KB5001779 (13. April 2021)
Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?
Sicherheitsupdates für Exchange Server (Juli 2021)


Anzeige

Dieser Beitrag wurde unter Office, Störung abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

26 Antworten zu Exchange 2016/2019: Outlook-Probleme durch AMSI-Integration

  1. Olli sagt:

    Danke für den Hinweis – das erspart mir Ärger. CU21 gestern auf dem letzten Exchange Server installiert. Nächstes Wochenende steht bei einem Kunden der Wechsel von VSE zu ENS an und am Donnerstag bei einem anderen der Wechsel von VSE zu Sophos Intercept X.

    Nennt man wohl einen Volltreffer – vom Regen in die Traufe – Was hier aber nicht so klar ist im Artikel – es sind die Virenscanner auf den Clients gemeint und nicht etwa der Scanner auf dem Server?

    • Günter Born sagt:

      Intuitiv hätte ich die Clients im Fokus ghabt, speziell, das Outlook ja auf den Clients läuft. Als absoluter Noob täte ich aber meinen: Beide. Woran mache ich das fest?

      McAfee Endpoit Security Client -> sacht mir, ist für Clients
      Sophos Intercept X for Server -> sacht mir, ist für Servers

      Mag mich aber täuschen.

      • Susanne sagt:

        Es gibt auch eine Endpoint Security für Server . Was ist also genau gemeint: das Abschalten der Schnittstelle auf den Clients oder auf den Exchange Servern?

      • Olli sagt:

        Von beiden Produkten sind es die selben Setups für Clients und Server. Lediglich Lizenzrechtlich sieht das anders aus. Intercept X schaut nach worauf es läuft und muss entsprechend lizenziert sein, McAfee prüft in dieser Hinsicht eigentlich gar nichts – es hat nicht mal einen Aktivierungsmechanismus oder so was – wobei das sicher irgendwann kommt. Beide diese Tools sind übrigens gerade keine Exchange Virenscanner. Bei McAfee wäre das MSME – ein extra Produkt und bei Sophos weiß ich das aktuell nicht.

        • Günter Born sagt:

          Und wo lasst ihr den AMSI-Scan zu? Es gab hier ja bereits eine Antwort, dass der Server betroffen sei. Ansonsten bleibt nur Versuch und Irrtum – im Web habe ich da bisher, außer Frankys-Seite, nichts gefunden.

          • Olli sagt:

            >>> Und wo lasst ihr den AMSI-Scan zu?

            Bislang nirgends. Wie geschrieben ist die Installation dieser Produkte erst für Ende dieser Woche geplant. Daher ja das Danke – denn so erspart das gleich Ärger.

            Wenn AMSI übrigens eine Konsequenz aus Hafnium ist, sollte es sich auf den Server beziehen. Das es jetzt die Clients erwischt ist wohl mal wieder ein Kollateralschaden – geht eben alles über die selbe Schnittstelle.

        • Susanne sagt:

          Stimmt, McAfee ENS ist kein Exchange Scanner. Es gibt aber dort die AMSI Schnittstelle, von der die Rede ist.

  2. Peterlaie sagt:

    Bei uns funktioniert nicht mal das Upgrade auf cu21, davon sind auch mehrere Nutzer betroffen. Kann man nur hoffen das mal eine Lösung seitens MS veröffentlich wird …

    https://www.frankysweb.de/neue-updates-fuer-exchange-server-juni-2021/
    https://techcommunity.microsoft.com/t5/exchange-team-blog/released-june-2021-quarterly-exchange-updates/ba-p/2459826

    • Günter Born sagt:

      Immerhin soll CU21 das letzte CU für Exchange Server 2016 sein, was man so hört.

    • Robert Richter sagt:

      @Peterlaie – ich habe mal eine Frage dazu…

      …ist auf allen DCs das .NET Framework 4.8 drauf? Oder fehlt das bei manchen DCs?

      • Peterlaie sagt:

        Hallo Robert,
        auf den DCs ist kein Net Frameork 4.8 installiert.

        Gruß
        Peter

        • Robert Richter sagt:

          @Peter: Danke, für die Info.

          Wir haben den CU21 auch noch nicht installiert, da wir von den vielen Problemen gelesen haben, nicht mal einen Versuch in unserer Test-Umgebung bis jetzt unternommen (kommt aber noch). Bei den vielen Postings im Netz ist mir ein User aufgefallen, der behauptet hat, dass das 4.8er Framework auf die DCs müsste – warum auch immer. Wird vermultlich unser Ansatz werden, wenn wir beim ersten Test Probleme feststellen sollten ;-) , auch wenn es sich nicht erklären lässt, warum dies so sein sollte…

  3. Klaus sagt:

    es liegt am Virenscanner auf dem Server, bei uns war es Sophos

  4. Susanne sagt:

    "it is known that installing CU21/CU10 works in most environments. But here in the thread it is apparent that many upgrades do not work in German environments."
    Kommentar auf https://techcommunity.microsoft.com/t5/exchange-team-blog/released-june-2021-quarterly-exchange-updates/ba-p/2459826

    sehr vertrauensvoll.

    • .MS. sagt:

      zum Hintergrund für mein oben zitiertes Microsoft Posting: unsere AD ist aus dem Jahr 2002, dass erste Exchange bei uns war Exchange 2000 (zuvor /parallel wurde MS-Mail/Novell Groupwise eingesetzt). Unsere AD (Betriebsmodus: 2019) ist somit nicht ganz so frisch. Dennoch konnten bisher alle Schema- und Domainerweiterungen implementiert werden, sämtliche Exchangeversionen wurden eingesetzt. Nur das zuletzt veröffentlichte CU21 (2016)/CU10 (2019) lässt sich nicht installieren. Mittlerweile bin ich mit Microsoft in Kontakt.

      Das Exchange CU21/CU10 funktionieren habe ich bereits mehrfach selbst erfahren. Ebenfalls funktioniert AMSI einwandfrei.

  5. Markus S. sagt:

    Der Hinweis, dass Microsoft die Veröffentlichung bereits selbst hinausgezögert hatte, reichte mir schon, um die Installation erst einmal nicht vorzunehmen. Bin auch froh drum, wenn ich das alles lese.
    Fernerhin gibt es wohl auch neue "safe to ignore" Fehler im Protokoll (Event 2999 o. ä.)

  6. MOM20xx sagt:

    hat microsoft mal wieder toll gemacht. generell scheint das letzte CU keine qualitätssicherung genossen zu haben.

    da gibts probleme wenn die server scheinbar nicht englische lokalisierung haben bei den schema erweiterungen im ad.

    dann die tolle amsi schnittstelle. gemäß broadcom lässt sich bspw. amsi im symantec endpoint protection nicht deaktivieren. das ding wird installiert und ist halt aktiv. ganz toll

    scheinbar gibts dann aber probleme wenn man versucht über die web.config vom iss die amsi filter am server rauszunehmen.

    also somit derzeit kein cu21. wir sind eh auf cu20, welches ja reicht um sec updates zu bekommen.

  7. DasOlli sagt:

    ich hab das Update erfolgreich auf 2 Exchange 2016 Servern bei einem Kunden installiert… bisher gibts (noch) keine Rückmeldung zu möglichen Problemen…

    Aufgrund der Anmerkungen bei Franky hatte ich den Kunden vorgewarnt,

    Allerdings musste ich die AD Vorbereitungen 2x mal durch führen, da vermute ich aber einfach ein Problem bei der AD Replikation der DC´s

  8. Tom sagt:

    Leider konnte ich bisher bei keinem Antivirus Anbieter hierzu etwas finden, dass es, wie bei Windows 10 für jedes neues Build einen entsprechenden Patch braucht, damit die zusammen funktionieren.

  9. MOM20xx sagt:

    zum thema amsi hab ich für symantec endpoint protection nur folgendes gefunden:

    Zitat Broadcom Mitarbeiter Anfang

    The AMSI feature is enabled by default. There is not a policy to enable or disable.

    Zitat Broadcom Mitarbeiter Ende

    Quelle:

    https://community.broadcom.com/symantecenterprise/communities/community-home/digestviewer/viewthread?MessageKey=0a62656c-ae89-4ea6-b960-7ba09294d9bc&CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68&tab=digestviewer#bm0a62656c-ae89-4ea6-b960-7ba09294d9bc

  10. Dirk Weibler sagt:

    Danke für die Info,
    seit Tagen suche ich den Fehler. Die Nutzer können aktuell nicht vernünftig arbeiten.
    Hoffe das es an der Verbindung von CU 21 und Sophos liegt.

  11. Mike sagt:

    Wir haben auch das U21 installiert. Lief bei uns problemlos durch! Ich würde sagen, dass der EX-2016 jetzt langsamer läuft, als vorher. Das Problem mit AMSI-Scaner und anderen Sicherheitssoftware, wir benutzer ESET für EX, konnten wir nicht beobachten!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.