Markus’ Messaging Blog

Es kam von einem Tag auf den nächsten

Einige Anwender, welche Exchange ActiveSync (EAS) verwenden, klagten plötzlich darüber, dass einige Termine nicht mehr auf ihr mobiles Gerät übertragen wurde. Ein pflichtbewusster und gewissenhafter Administrator denkt natürlich in so einem Fall als erstes sofort ganz im Sinne seines Kunden „Ja na klar… das Problem muss doch wieder zwischen den Ohren des Anwenders liegen“ Aber dem war nicht so. Anfangs waren es einige Termine, die Probleme bereiteten, aber nach einer Weile fehlten auch sporadisch E-Mails auf den mobilen Clients. Immer mehr Anwender klagten schließlich über eben dieses Phänomen.

Also ein Testgerät geschnappt und geschaut ob das Problem reproduzierbar ist.
Und wirklich … auch auf einem Testgerät war zu sehen, dass vereinzelt Mailobjekte per EAS nicht mehr übertragen wurden.

 
Nach einiger Zeit Recherche im Netz ist die Ursache gefunden

Es ist wie so oft bei unerklärlichen Dingen die verschwinden oder nicht mehr wie gewohnt funktionieren… der VIRENSCANNER ist Schuld … in diesem Fall der VSAPI Scanner für die Postfächer.

Wenn der Exchange Virenscanner ein Signatur-Update bekommt, dann werden Elemente im Postfach erst dann für Exchange ActiveSync freigegeben, wenn diese erneut gescannt wurden. Bei den meisten Exchange Virenscannern ist das Standardverhalten so, dass erst beim Zugriff auf ein Mailobjekt mittels Outlook der „On Access Scanner“ das Objekt erneut anscannt. Jetzt merkt der Exchange Virenscanner mit dieser Einstellung aber nicht, wenn der mobile Client ein Objekt „anfordert“. Somit scannt der OnAccess Scanner das angeforderte Objekt nicht ab und gibt es auch nicht frei. Als Ergebnis landet das Objekt nicht auf dem mobilen Gerät.

Also müssen wir dafür sorgen, dass der Exchange Virenscanner nach einem Signatur-Update alle neuen Objekte möglichst schnell scannt und bestehende Objekte im Postfach ebenfalls. Dieses Verhalten kann im Exchange Virenscanner mit den beiden Optionen „Background Scanning“ und „Proactive Scanning“ eingestellt werden. Je nach Virenscanner sind diese Optionen in der Konsole einstellbar. Oder aber man muss tätig werden und Werte in der Registry anpassen, oder eben beides.

Im KB-Artikel „Server ActiveSync does not download all items during a synchronization session“ beschreibt Microsoft das Problem: http://support.microsoft.com/default.aspx?scid=kb;en-us;827615

 
Background Scanning

Die Funktion „Background Scanning“ wurde mit der VSAPI 2.0 Schnittstelle (Exchange 2000) eingeführt. Dieses Feature veranlasst den Exchange Store einen niedrig priorisierten Scan Thread zu starten, der dann im Hintergrund alle Nachrichten und Dateianhänge fortlaufend untersucht. Dies geschieht unabhängig vom Zugriff der Clients.

 
Proactive Scanning

Auch „Proactive Scanning“ wurde mit VSAPI 2.0 eingeführt. Bei aktiviertem „Proactive Scanning“ werden alle neuen Mailobjekte als niedrig gekennzeichnet und in eine „Low Priority Queue“ gestellt. Dort verweilen sie solange, bis alle hoch priorisierten Mailobjekte gescannt wurden und sich ein freier Threat findet, der sie dann untersucht.
Wenn ein Client ein Mailobjekt anfordert, dann wird die Scan Priorität dieses Objekts auf hohe Priorität geändert und sofort gescannt.

Wenn „Proactive Scanning“ abgeschaltet ist, dann werden zusätzliche Scan-Anforderungen ignoriert und nur ausgeführt, wenn das Mailobjekt vom Client geöffnet wird. Hinsichtlich ActiveSync ist genau hier das Problem zu finden, denn es werden nur Mailobjekte zum Gerät gepusht, die bereits gescannt worden sind. Das bedeutet, man müsste erst mit Outlook ein neues Objekt öffnen damit es gescannt wird und beim nächsten Push Intervall kommt es dann auf das mobile Geräte. Nicht wirklich praktikabel

 
Die entsprechenden Werte in der Registry

Die VSAPI Schnittstelle von Exchange bietet im folgenden Registry-Zweig verschiedene Konfigurationsparameter, um den Virenscanner und den Exchange Store einzustellen…

HKLM\SYSTEM\CurrentControlSet\Services\MSExchangeIS\VirusScan

Enabled (REG_DWORD)
Dieser Wert schaltet den Exchange Virenscanner ganz einfach komplett ein oder aus.
0 – Virus Scanning ist für alle Datenbanken deaktiviert
1 – Virus Scanning ist für alle Datenbanken aktiviert

Library (REG_SZ)
Vollständiger Pfad und Dateiname zur „Vendor DLL“ für die Aktivierung beim Systemstart

ReloadNow (REG_DWORD)
Per Default ist der Wert auf Null gesetzt. Wird der Wert auf „1″ gesetzt, dann liest Exchange die Konfigurationseinstellungen aus der Registry erneut und läd ebenfalls die „Vendor DLL“ neu. Exchange fragt diese Einstellung einmal pro Minute ab.

BackgroundScanning (REG_DWORD)
Globale Aktivierung/Deaktivierung der Funktion „Background Scanning“ (oben beschrieben)
0 – Background Scanning ist deaktiviert
1 – Background scanning ist aktiviert

ProactiveScanning (REG_DWORD)
Globale Aktivierung/Deaktivierung der Funktion „Proactive Scanning“ (oben beschrieben)
0 – Proactive Scanning ist deaktiviert
1 – Proactive Scanning ist aktiviert

ScanTimeout (REG_DWORD)
Dieser Wert gibt die Zeit an, die ein Client warten muss, bis ein Signal kommt, dass das angeforderte Objekt verfügbar ist.
Min Wert: 10 Sekunden
Max Wert: 30 Minuten
Standard Wert: 3 Minuten

ScanRTF (REG_DWORD)
Steuerung ob Rich Text (RTF) Streams gescannt werden sollen. Die Standard Einstellung ist „1″
0 – RTF Streams werden nicht gescannt
1 oder ungesetzt – RTF Streams werden gescannt

EnableScanDeletion (REG_DWORD)
(nur VSAPI 2.5, also ab Exchange 2003)
Dieser Wert steuert ob durch 3rd Party Scanner Objekte gelöscht werden dürfen
0 oder nicht gesetzt – Löschen untersagt
1 – Löschen erlaubt

All diese Optionen sind in gängigen Exchange Virenscanner über die Virus Konsole einstellbar und müssen nicht zwingend manuell in der Registry angepasst werden. Manchmal ist aber manuelles Nachbessern nötig.

 
Beispiel anhand von „Microsoft Forefront Security für Exchange“ (FSE) wie ein Exchange Virenscanner für die störungsfreie Funktion von EAS konfiguriert wird

In FSE ist die Option „Scan on Scanner update“ (wird in der Registry über den Wert „OnAccessThresholdVersion“ gesteuert) besonders wichtig für EAS. Hiermit wird global festgelegt, dass beim Signatur-Update erneut gescannt wird.

Die „Background Scanning“ Optionen können in FSE noch einmal feiner eingestellt werden. Wichtig ist hier, die Option „Scan Only Messages with Attachments“ ´zu deaktivieren, da sonst nur Mails mit Dateianhängen berücksichtigt werden.

Die beiden Optionen auf der linken Seite sind eigentlich selbsterklärend. Interessant ist noch die Option „Scan Messages Received Within the Last …“ . Damit kann eingegrenzt werden welcher Zeitraum beim Background Scanning berücksichtigt werden soll. „Anytime“ ist hier schon der für EAS günstigste Wert. Allerdings sollte man die Performance des Systems im Auge behalten. Ebenso kann mit „Optimize scanning performance for“ noch die Gewichtung festgelegt werden. In diesem Beispiel hat der Realtime Scanner die höchste Gewichtung.

 
Links zum Thema

KB-Artikel zum EAS Problem
http://support.microsoft.com/default.aspx?scid=kb;en-us;827615

Seguest Blog Artikel
http://seguest.blogspot.com/2006/03/active-sync-fails-to-pull-down-e-mail.html

Best Practices Store scanning
http://technet.microsoft.com/en-us/library/bb795144.aspx

Scanning considerations
http://technet.microsoft.com/en-us/library/bb795188.aspx

Artikel vom MS Exchange Team Blog
http://msexchangeteam.com/archive/2004/11/15/257737.aspx

Mehr zur Funktion von Exchange ActiveSync (EAS) auf Franks „MS Exchange FAQ“
http://www.msxfaq.net/mobil/eas.htm

Keywords:  Exchange ActiveSync Problem, Proactive Scanning, Background Scanning, VSAPI