Die mit dem CU21 für Exchange 2016 bzw. CU10 für Exchange 2019 neu eingeführte AMSI Integration sorgt in Verbindung mit verschiedenen AntiViren Scannern für teils schwere Probleme. Die Outlook Verbindung wird mitunter so langsam, dass ein Arbeiten nicht mehr möglich ist. Selbst der Start von Outlook kann mehrere Minuten dauern. Immer wieder reagiert Outlook nicht, besonders schlimm wird es, wenn der Cache-Mode abgeschaltet ist.
Beispielsweise hat der McAfee Endpoit Security Client, welcher ebenfalls AMSI unterstützt, heute für die oben beschriebenen Probleme gesorgt. Sobald AMSI im McAfee Endpoint Security Client abgeschaltet wurde, hat sich die Outlook Geschwindigkeit wieder normalisiert.
Auch mit der Sophos Intercept X for Server kommt es zu Problemen mit der Outlook Geschwindigkeit solange AMSI im Virenscanner aktiviert ist. Die Probleme treten aktuell nur mit Outlook auf. OWA, EWS und ActiveSync scheinen davon nicht betroffen zu sein.
Der Windows Defender scheint hingegen keine Probleme zu verursachen. Als Workaround lässt sich AMSI in den meisten Virenscannern abschalten (wie beispielsweise oben im Screenshot anhand von McAfee gezeigt, idealerweise sollte dies durch eine entsprechende Policy geschehen).
Alternativ zur Deaktivierung von AMSI im Virenscanner lässt sich auch die web.config auf den Exchange Servern anpassen und somit AMSI nur für MAPIoverHTTP (und wenn nötig für RPCoverHTTP) deaktivieren. Die web.config Dateien befinden sich in den folgenden Verzeichnissen:
- %exchangeinstallpath%\FrontEnd\HttpProxy\mapi
- %exchangeinstallpath%\FrontEnd\HttpProxy\rpc
Zur Deaktivierung der AMSI Integration kann innerhalb des <modules> Abschnitts die folgende Zeile auskommentiert werden:
<add name="HttpRequestFilteringModule" type="Microsoft.Exchange.HttpRequestFiltering.HttpRequestFilteringModule, Microsoft.Exchange.HttpRequestFiltering, Version=15.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" />
Die Zeile lässt sich also wie folgt abändern:
<!-- <add name="HttpRequestFilteringModule" type="Microsoft.Exchange.HttpRequestFiltering.HttpRequestFilteringModule, Microsoft.Exchange.HttpRequestFiltering, Version=15.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" /> -->
Nach der Änderung der web.config Dateien ist ein Neustart des IIS nötig, hierbei verlieren die Clients kurzzeitig die Verbindung zu Exchange.
Hallo!
Wir haben nun März 2022 – also ein 3/4 Jahr nach Erstellung des Blog-Artikels…. und das Problem ist bei Microsoft noch immer aktuell?? Man will wohl mit aller Gewalt alle zu Exchange-Online verleiten.
Ich habe nun Exchange 2019 installiert (Migration von Ex2013) und heute ist der erste produktive Tag und im Citrix (Onlinemodus) melden sich User mit Performanceproblemen
AV ist Cisco Secure. AMSI ist eigentlich per Policy deaktiviert.
auch wurde per Powershell das New-SettingOverride gemacht
..und dennoch hilft es nicht?
Bin noch am suchen…
ich revidiere mich… in meinem Fall war es eher eine Kombi aus Mapi over http und Onlinemodus in Citrix, der lahm war
registry DWORD
HKEY_CURRENT_USER\Software\Microsoft\Exchange
Name = MapiHttpDisabled
Wert = 1
Hallo!
wir setzen GData Business Enterprise ein. AMSI lässt sich über das ManagementInterface ebenfalls für den Exchange2016 CU22, auf einem Server 2016 aktivieren. Ist hier jemanden etwas bekannt, ob es Probleme mit Outlook geben könnte?
MfG
Sophos hat den Support Case als gelöst markiert: https://support.sophos.com/support/s/article/KB-000042460?language=en_US
Guten Morgen,
gestern Update von Ex 2016 auf CU22 gemacht. Outlook (2016 und 2019) grottenlahm beim Connect zum EX und die Synchronisation auch. Setzen Sophos Central / Intercept X ein.
Das ändern der webconfig Dateien führte dazu, dass Outlook sich garnicht mehr verbinden konnte.
Das abschalten der ASMI im Sophos Central nach dem Artikel hier -> https://www.biricon.eu/blog/neues-amsi-update-fuhrt-zu-schwerwiegenden-problemen-bei-exchange-2016-cu21-und-exchange-2019-cu10-9/post/neues-amsi-update-fuhrt-zu-schwerwiegenden-problemen-bei-exchange-2016-cu21-und-exchange-2019-cu10-12
hat scheinbar eine Verbesserung der Performance gebracht.
Ich beobachte weiter und schreibe wieder, wenn es News dazu gibt.
https://support.sophos.com/support/s/article/KB-000042460?language=en_US
Warst Du hier schon? Klappt bei uns einwandfrei
Moin zusammen,
ich habe gestern Abend unseren Exchange 2016 (OS D, EX D, Panda Virenscanner) auf CU 21 aktualisiert. Bisher keine Probleme oder Auffälligkeiten.
Wir hatten massive Probleme in Verbindung mit AVG Business Viren Scanner.
taskhostw.exe -> CreateExplorerShellUnelevatedTask ist ewig gelaufen und hat ne enorme CPU Last generiert. Zudem wurden die WMI-Abfragen vom PRTG Monitoring ständig blockiert und erzeugten ebenfalls eine hohe CPU-Last.
Es hat sich von Tag zu Tag hochgeschaukelt, so dass wir die Server regelmäßig neu starten mussten. Als wir dann AMSI auf Server-Ebene deaktiviert haben alles wieder im grünen Bereich. Leider gibt es bei AVG Business in der GUI keine Option AMSI zu deaktivieren :-(
Heute Sophos Update installiert. CPU Last sieht wieder gesund aus, keine w3wp.exe Spitzen mehr. Die nächsten Tage werden zeigen ob es damit behoben ist.
Das Problem wurde noch nicht wirklich gelöst. Outlook wird wieder träge mit aktivem Sophos AMSI.
Das Problem wird wohl auch noch eine Weile bestehen bleiben. Siehe KB von Sophos https://support.sophos.com/support/s/article/KB-000042460?language=en_US.
Dort steht
„Current status
A fix for the issue is identified and planned to be released in an upcoming version of Sophos Central Server Protection, currently scheduled to be available in Q4-2021.“
Wow, thank you….
For days I have been trying to figure out what causes this Outlook issues in our organization.
Vielen Dank aus Kanada!
Wird die Problematik mit der AMSI-Schnittstelle mit dem letzten Update behoben?
Wer Sophos Intercept X einsetzt hier ein Artikel von Sophos zu diesen Thema: https://support.sophos.com/support/s/article/KB-000042460?language=en_US
Sehr gut, danke!
Hier auch das gleiche Problem mit Exchange 2016 CU21 und Sophos. Bei uns ist ein Exchange Server Neustart nur alle paar Tage notwendig. Habe nun ein Ticket aufgemacht und hoffe Sophos hat eine passende Erklärung und Lösung parat.
Wir haben zunächst alle Exchange 2019 Server auf SEP 14.3 aktualisiert. Diese Version bringt den AMSI Support mit. Anschließend haben wir CU 10 installiert. Bislang keine Probleme zu erkennen.
Den Exchange.
Wir sind auch von der Performance Degradation mit Sophos Intercept X betroffen und haben nun den MAPIoverHTTP Workaround via web.config angewandt. Vielen Dank für den Tipp! Was wir uns fragen ist: Werden durch das Auskommentieren des HttpRequestFilteringModule keys noch andere, sicherheitsrelevanten Funktionen ausgeschaltet, die vor den Updates griffen? Wird also evtl. das Kind mit dem Bade ausgeschüttet? Weiss da jemand mehr?
unwahrscheinlich, da es die Funktion vorher ja nicht gab. Alternativ, könnte man natürlich auch auf dem Exchange statt Sophos Intercept X fürs erste den Defender nutzen, der die Probleme offenbar nicht verursacht und hat dann den Schutz mit CU21 zusätzlich.
Korrekt, mit Windows Defender gibt es das Problem nicht, auch mit der Mehrheit an 3rd party Scanner gibt es kein Problem. Nach meinem Stand (mal wieder) nur mit McAfee und eben Sophos.
Betrifft das nun eine Sophos Installation auf dem Exchange-Server, auf den Clients oder sowohl als auch?
Mann glaubt es nicht. Der „Erststart“ OWA/ECO brauchte ca. 4h. Dann lief alles.
UTC -> MEZ+1 -> Sommerzeit = 2 h * 2
Habe gerade (OS D, EX D, AVG Virenscanner) das exakte gleich Problem gehabt. Teste gerade die Anpassung….
Ergebnis: ASSERT: HMACProvider.GetCertificates:protectionCertificates.Length x h Geduld angesagt.
Bei (OS D, EX D, Defender) ohne Probleme.
Hatte in allen Fällen NICHTS mit dem Zertifikat abgelaufen (bis 2023 gültig) zu tun.
I’m facing this problem which I also using Sophos in exchange server 2016. I turned off ASMI in server and client side , outlook is normal.
hat wer erfahrungen mit symantec endpoint protection. laut broadcom lässt sich das amsi module bei ihnen weder konfigurieren noch deaktivieren. es ist installiert und aktiv und macht was.
Hallo Frank,
vielen Dank für die Info. Leider habe ich Sie erst nach 2 Tagen Problemsuche gefunden.
Bei uns hat die Installation von CU21mit Sophos X erhebliche Probleme verursacht.
Es gab Anwender, die mit Outlook nicht mehr arbeiten konnten. Kurzfristig brachte immer nur ein Neustart des Servers Linderung.
Nachdem ich in Sophos X AMSI deaktiviert hatte, lief Outlook wieder einwandfrei.
Wer ist für die Probleme Verantwortlich? Microsoft oder die Antivierensoftware Hersteller?
Hi Dirk,
wende Dich an Sophos. Mit Defender oder auch TrendMicro gibt es keineProbleme.
Ralf
Hallo Ralf,
welches TrendMicro Produkt setzt ihr ein?
VG
Marco
Logischerweise auf dem Server. ;) Der soll ja geschützt werden.
Logischerweise sieht so aus, als ob du für uns „Doofen“, alle eine Lösung hättest…
Wofür hättest du denn gern eine Lösung? Exchange AMSI Integration arbeitet auf dem Server (das bezog sich auf den Kommentar über meinem).
Hallo, im Kommentar auf https://techcommunity.microsoft.com/t5/exchange-team-blog/released-june-2021-quarterly-exchange-updates/ba-p/2459826 ist von massiven Problemen bei deutschen Installationen (OS, AD und EX in Deutsch) mit mässiger Rückmeldung von MS bei offenen Tickets die Rede. Außerdem ist mir unklar, ob die AMSI Schnittstelle auf Server oder auf Client gemeint ist, z.B. bei McAfee ENS. Auf dem Server ist es deaktiviert, auf den Clients aktiv. Also drehe ich nochmal eine Runde um den Block…
Weiß hier jemmand ob bei Sophos Intercept X das Problem auf die Scananfragen zurückzuführen ist?
Moin,
auch bei einem der von mir betreuten Exchange-Server 2019 mit Sophos das Elend, dass Outlook nach dem Update äußerst zäh ist. Nachdem Sophos AMSI deaktiviert war und zu Testzwecken auch die web.config-Dateien, lief es dann zwar besser, aber gerade öffentliche Ordner und Kalender befinden sich im Vergleich zu vorher immer noch im Schleichmodus. (Mailvorschau 3 bis 6 Sekunden für eine simple 3-Zeilen-Textmail)
Zudem sehe ich seitdem regelmäßig Crashes (Ereignis 4999) für MSExchangeHMHost, M.Exchange.Pop3, M.Exchange.Imap4 – bei allen handelt es sich um die gleiche Ausnahme im Text (M.E.Diagnostics.BlockedDeserializeTypeException)
Beispiel:
Watson report about to be sent for process id: 4584, with parameters: E12, c-RTL-AMD64, 15.02.0922.005, MSExchangeHMHost, M.Exchange.Diagnostics, .0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, PerformActualLog, M.E.Diagnostics.BlockedDeserializeTypeException, 1193763487, 15.02.0922.005.
Ich mittlerweile derweil am Überlegen, ob ich die System- und Exchange-Anwendungspartitionen über das Backup zurückrolle, da der Kunde so kaum arbeiten kann.
Die Meldungen hab ich seit Cu21 auf Exchange 2016 auch. Scheint aber soweit alles zu funktionieren. Mit Cu20 hatte ich diese Meldungen nicht. Kommen aller paar Minuten.
Wir haben AMSI in Sophos integriert, somit ist diese Funktion für mich uninteressant, solange die auch noch Performance Probleme mit sich bringt. Wenn das vernünftig funktionieren würde, konnte man sich das überlegen, diese Funktion parallel laufen zu lassen.
Aber wenn ich jede 2-3 Std. den Webserver neustarten muss, weil die Clients sich aufhängen/langsam werden und Empfangen/Versenden von Mails somit nicht möglich ist, dann bringt mich dieses Feature nicht weiter.
Also leider keine Lösung für das tolle MS Feature?
Ähm das Problem ist in dem Fall vermutlich eher Sophos. Es läuft da auch nix „parallel“, sondern Exchange nutzt die AMSI Integration von Sophos.
Vielen Dank für diesen wertvollen Fix im web.config – auch wir haben Intercept X im Einsatz. Seit der Anpassung des web.config müssen wir allerdings den IIS regelmässig neu starten (alle 3-4 Stunden), da sonst der IIS Dienst auf einer hohen Last läuft und das ganze wieder stark beeinträchtigt. Hat da jemand Erfahrungen gemacht?
Es gibt unter „..\exchangeserver\v15\scripts“ einen Script „Disable-AntimalwareScanning“. Probier mit dem nochmal das Scannen komplett auszuschalten.
Das ist aber „nur“ für den TransportAgent und hat nix mit AMSI zu tun. Man möge mich bitte korrigieren, sollte ich falsch liegen.
Bei uns hat das auch nichts gebracht, zur Zeit haben wir das Problem, dass wir jede 2-3 Std. unseren Webserver neustarten müssen, damit die Clients performant laufen, sonst hängt sich Outlook komplett auf und das Arbeiten ist kaum möglich.
Gibt es dazu eine Lösung?
Naja es bringt was, dass ggf. der AntiMalware Agent hinterher deinstalliert wurde. ;) Also ggf. prüfen, dass man da kein Loch aufreißt.
Hallo,
wie sieht es mit Sophos Intercept X with EDR aus?
hat sich erledigt.
Vielen Dank für die Infos.
Wie sieht es mit dem häufiger verbreiteten AV Software wie Kaspersky aus ?
Moin, Gestern Abebed das CU 21 für Exchange Server 2016 ohne Probleme installiert. Bei uns läuft Kaspersky Endpoint Security for Business und keine Probleme.
Wie sieht es aus, wenn man Kaspersky for Exchange auf dem Mailserver laufen hat?