Exchange 2016/2019: AMSI Integration sorgt für Probleme mit Outlook

Die mit dem CU21 für Exchange 2016 bzw. CU10 für Exchange 2019 neu eingeführte AMSI Integration sorgt in Verbindung mit verschiedenen AntiViren Scannern für teils schwere Probleme. Die Outlook Verbindung wird mitunter so langsam, dass ein Arbeiten nicht mehr möglich ist. Selbst der Start von Outlook kann mehrere Minuten dauern. Immer wieder reagiert Outlook nicht, besonders schlimm wird es, wenn der Cache-Mode abgeschaltet ist.

Beispielsweise hat der McAfee Endpoit Security Client, welcher ebenfalls AMSI unterstützt, heute für die oben beschriebenen Probleme gesorgt. Sobald AMSI im McAfee Endpoint Security Client abgeschaltet wurde, hat sich die Outlook Geschwindigkeit wieder normalisiert.

McAfee Enpoint Security

Auch mit der Sophos Intercept X for Server kommt es zu Problemen mit der Outlook Geschwindigkeit solange AMSI im Virenscanner aktiviert ist. Die Probleme treten aktuell nur mit Outlook auf. OWA, EWS und ActiveSync scheinen davon nicht betroffen zu sein.

Der Windows Defender scheint hingegen keine Probleme zu verursachen. Als Workaround lässt sich AMSI in den meisten Virenscannern abschalten (wie beispielsweise oben im Screenshot anhand von McAfee gezeigt, idealerweise sollte dies durch eine entsprechende Policy geschehen).

Alternativ zur Deaktivierung von AMSI im Virenscanner lässt sich auch die web.config auf den Exchange Servern anpassen und somit AMSI nur für MAPIoverHTTP (und wenn nötig für RPCoverHTTP) deaktivieren. Die web.config Dateien befinden sich in den folgenden Verzeichnissen:

  • %exchangeinstallpath%\FrontEnd\HttpProxy\mapi
  • %exchangeinstallpath%\FrontEnd\HttpProxy\rpc

Zur Deaktivierung der AMSI Integration kann innerhalb des <modules> Abschnitts die folgende Zeile auskommentiert werden:

<add name="HttpRequestFilteringModule" type="Microsoft.Exchange.HttpRequestFiltering.HttpRequestFilteringModule, Microsoft.Exchange.HttpRequestFiltering, Version=15.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" />

Die Zeile lässt sich also wie folgt abändern:

<!-- <add name="HttpRequestFilteringModule" type="Microsoft.Exchange.HttpRequestFiltering.HttpRequestFilteringModule, Microsoft.Exchange.HttpRequestFiltering, Version=15.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" /> -->
Exchange AMSI für Protokolle deaktivieren

Nach der Änderung der web.config Dateien ist ein Neustart des IIS nötig, hierbei verlieren die Clients kurzzeitig die Verbindung zu Exchange.

49 Gedanken zu „Exchange 2016/2019: AMSI Integration sorgt für Probleme mit Outlook“

  1. Hallo!
    Wir haben nun März 2022 – also ein 3/4 Jahr nach Erstellung des Blog-Artikels…. und das Problem ist bei Microsoft noch immer aktuell?? Man will wohl mit aller Gewalt alle zu Exchange-Online verleiten.

    Ich habe nun Exchange 2019 installiert (Migration von Ex2013) und heute ist der erste produktive Tag und im Citrix (Onlinemodus) melden sich User mit Performanceproblemen
    AV ist Cisco Secure. AMSI ist eigentlich per Policy deaktiviert.
    auch wurde per Powershell das New-SettingOverride gemacht

    ..und dennoch hilft es nicht?
    Bin noch am suchen…

    Antworten
    • ich revidiere mich… in meinem Fall war es eher eine Kombi aus Mapi over http und Onlinemodus in Citrix, der lahm war

      registry DWORD
      HKEY_CURRENT_USER\Software\Microsoft\Exchange
      Name = MapiHttpDisabled
      Wert = 1

      Antworten
  2. Hallo!

    wir setzen GData Business Enterprise ein. AMSI lässt sich über das ManagementInterface ebenfalls für den Exchange2016 CU22, auf einem Server 2016 aktivieren. Ist hier jemanden etwas bekannt, ob es Probleme mit Outlook geben könnte?

    MfG

    Antworten
  3. Guten Morgen,
    gestern Update von Ex 2016 auf CU22 gemacht. Outlook (2016 und 2019) grottenlahm beim Connect zum EX und die Synchronisation auch. Setzen Sophos Central / Intercept X ein.

    Das ändern der webconfig Dateien führte dazu, dass Outlook sich garnicht mehr verbinden konnte.
    Das abschalten der ASMI im Sophos Central nach dem Artikel hier -> https://www.biricon.eu/blog/neues-amsi-update-fuhrt-zu-schwerwiegenden-problemen-bei-exchange-2016-cu21-und-exchange-2019-cu10-9/post/neues-amsi-update-fuhrt-zu-schwerwiegenden-problemen-bei-exchange-2016-cu21-und-exchange-2019-cu10-12
    hat scheinbar eine Verbesserung der Performance gebracht.

    Ich beobachte weiter und schreibe wieder, wenn es News dazu gibt.

    Antworten
  4. Wir hatten massive Probleme in Verbindung mit AVG Business Viren Scanner.
    taskhostw.exe -> CreateExplorerShellUnelevatedTask ist ewig gelaufen und hat ne enorme CPU Last generiert. Zudem wurden die WMI-Abfragen vom PRTG Monitoring ständig blockiert und erzeugten ebenfalls eine hohe CPU-Last.
    Es hat sich von Tag zu Tag hochgeschaukelt, so dass wir die Server regelmäßig neu starten mussten. Als wir dann AMSI auf Server-Ebene deaktiviert haben alles wieder im grünen Bereich. Leider gibt es bei AVG Business in der GUI keine Option AMSI zu deaktivieren :-(

    Antworten
  5. Heute Sophos Update installiert. CPU Last sieht wieder gesund aus, keine w3wp.exe Spitzen mehr. Die nächsten Tage werden zeigen ob es damit behoben ist.

    Antworten
  6. Wow, thank you….

    For days I have been trying to figure out what causes this Outlook issues in our organization.
    Vielen Dank aus Kanada!

    Antworten
  7. Hier auch das gleiche Problem mit Exchange 2016 CU21 und Sophos. Bei uns ist ein Exchange Server Neustart nur alle paar Tage notwendig. Habe nun ein Ticket aufgemacht und hoffe Sophos hat eine passende Erklärung und Lösung parat.

    Antworten
  8. Wir sind auch von der Performance Degradation mit Sophos Intercept X betroffen und haben nun den MAPIoverHTTP Workaround via web.config angewandt. Vielen Dank für den Tipp! Was wir uns fragen ist: Werden durch das Auskommentieren des HttpRequestFilteringModule keys noch andere, sicherheitsrelevanten Funktionen ausgeschaltet, die vor den Updates griffen? Wird also evtl. das Kind mit dem Bade ausgeschüttet? Weiss da jemand mehr?

    Antworten
    • unwahrscheinlich, da es die Funktion vorher ja nicht gab. Alternativ, könnte man natürlich auch auf dem Exchange statt Sophos Intercept X fürs erste den Defender nutzen, der die Probleme offenbar nicht verursacht und hat dann den Schutz mit CU21 zusätzlich.

      Antworten
      • Korrekt, mit Windows Defender gibt es das Problem nicht, auch mit der Mehrheit an 3rd party Scanner gibt es kein Problem. Nach meinem Stand (mal wieder) nur mit McAfee und eben Sophos.

        Antworten
  9. Habe gerade (OS D, EX D, AVG Virenscanner) das exakte gleich Problem gehabt. Teste gerade die Anpassung….
    Ergebnis: ASSERT: HMACProvider.GetCertificates:protectionCertificates.Length x h Geduld angesagt.

    Bei (OS D, EX D, Defender) ohne Probleme.
    Hatte in allen Fällen NICHTS mit dem Zertifikat abgelaufen (bis 2023 gültig) zu tun.

    Antworten
  10. I’m facing this problem which I also using Sophos in exchange server 2016. I turned off ASMI in server and client side , outlook is normal.

    Antworten
  11. hat wer erfahrungen mit symantec endpoint protection. laut broadcom lässt sich das amsi module bei ihnen weder konfigurieren noch deaktivieren. es ist installiert und aktiv und macht was.

    Antworten
  12. Hallo Frank,
    vielen Dank für die Info. Leider habe ich Sie erst nach 2 Tagen Problemsuche gefunden.
    Bei uns hat die Installation von CU21mit Sophos X erhebliche Probleme verursacht.
    Es gab Anwender, die mit Outlook nicht mehr arbeiten konnten. Kurzfristig brachte immer nur ein Neustart des Servers Linderung.

    Nachdem ich in Sophos X AMSI deaktiviert hatte, lief Outlook wieder einwandfrei.

    Wer ist für die Probleme Verantwortlich? Microsoft oder die Antivierensoftware Hersteller?

    Antworten
  13. Hallo, im Kommentar auf https://techcommunity.microsoft.com/t5/exchange-team-blog/released-june-2021-quarterly-exchange-updates/ba-p/2459826 ist von massiven Problemen bei deutschen Installationen (OS, AD und EX in Deutsch) mit mässiger Rückmeldung von MS bei offenen Tickets die Rede. Außerdem ist mir unklar, ob die AMSI Schnittstelle auf Server oder auf Client gemeint ist, z.B. bei McAfee ENS. Auf dem Server ist es deaktiviert, auf den Clients aktiv. Also drehe ich nochmal eine Runde um den Block…

    Antworten
  14. Moin,
    auch bei einem der von mir betreuten Exchange-Server 2019 mit Sophos das Elend, dass Outlook nach dem Update äußerst zäh ist. Nachdem Sophos AMSI deaktiviert war und zu Testzwecken auch die web.config-Dateien, lief es dann zwar besser, aber gerade öffentliche Ordner und Kalender befinden sich im Vergleich zu vorher immer noch im Schleichmodus. (Mailvorschau 3 bis 6 Sekunden für eine simple 3-Zeilen-Textmail)

    Zudem sehe ich seitdem regelmäßig Crashes (Ereignis 4999) für MSExchangeHMHost, M.Exchange.Pop3, M.Exchange.Imap4 – bei allen handelt es sich um die gleiche Ausnahme im Text (M.E.Diagnostics.BlockedDeserializeTypeException)
    Beispiel:
    Watson report about to be sent for process id: 4584, with parameters: E12, c-RTL-AMD64, 15.02.0922.005, MSExchangeHMHost, M.Exchange.Diagnostics, .0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35, PerformActualLog, M.E.Diagnostics.BlockedDeserializeTypeException, 1193763487, 15.02.0922.005.

    Ich mittlerweile derweil am Überlegen, ob ich die System- und Exchange-Anwendungspartitionen über das Backup zurückrolle, da der Kunde so kaum arbeiten kann.

    Antworten
    • Die Meldungen hab ich seit Cu21 auf Exchange 2016 auch. Scheint aber soweit alles zu funktionieren. Mit Cu20 hatte ich diese Meldungen nicht. Kommen aller paar Minuten.

      Antworten
  15. Wir haben AMSI in Sophos integriert, somit ist diese Funktion für mich uninteressant, solange die auch noch Performance Probleme mit sich bringt. Wenn das vernünftig funktionieren würde, konnte man sich das überlegen, diese Funktion parallel laufen zu lassen.
    Aber wenn ich jede 2-3 Std. den Webserver neustarten muss, weil die Clients sich aufhängen/langsam werden und Empfangen/Versenden von Mails somit nicht möglich ist, dann bringt mich dieses Feature nicht weiter.

    Also leider keine Lösung für das tolle MS Feature?

    Antworten
    • Ähm das Problem ist in dem Fall vermutlich eher Sophos. Es läuft da auch nix „parallel“, sondern Exchange nutzt die AMSI Integration von Sophos.

      Antworten
  16. Vielen Dank für diesen wertvollen Fix im web.config – auch wir haben Intercept X im Einsatz. Seit der Anpassung des web.config müssen wir allerdings den IIS regelmässig neu starten (alle 3-4 Stunden), da sonst der IIS Dienst auf einer hohen Last läuft und das ganze wieder stark beeinträchtigt. Hat da jemand Erfahrungen gemacht?

    Antworten
    • Es gibt unter „..\exchangeserver\v15\scripts“ einen Script „Disable-AntimalwareScanning“. Probier mit dem nochmal das Scannen komplett auszuschalten.

      Antworten
        • Bei uns hat das auch nichts gebracht, zur Zeit haben wir das Problem, dass wir jede 2-3 Std. unseren Webserver neustarten müssen, damit die Clients performant laufen, sonst hängt sich Outlook komplett auf und das Arbeiten ist kaum möglich.

          Gibt es dazu eine Lösung?

        • Naja es bringt was, dass ggf. der AntiMalware Agent hinterher deinstalliert wurde. ;) Also ggf. prüfen, dass man da kein Loch aufreißt.

Schreibe einen Kommentar