Hebikuzure's Tech Memo

2010年8月13日

Active Directory 環境でアンチウイルス ソフトに起因するトラブルを回避する

Filed under: Windows トラブル — hebikuzure @ 7:15 AM

Virus scanning recommendations for Enterprise computers that are running currently supported versions of Windows
http://support.microsoft.com/kb/822158/en-us


Active Directory は Windows Server と Windows クライアントで構成されたネットワークで、各コンピュータとそれにログオンするユーザーを管理運用する優れたソリューションですが、その機能の実現のために特定のファイルやレジストリが利用されています。そのためそうしたファイルやレジストリへのアクセスに支障が出ると、コンピュータやユーザーの設定が正しく構成されなかったり、安定性に問題が生じる場合があります。
一方、アンチウイルス ソフトウェアは今日のコンピュータ セキュリティーの重要な要素であり、実運用環境にあるコンピュータのすべてにインストールし動作させる事が望ましいのですが、多くのアンチウイルス ソフトウェアでは「リアルタイム監視」などの機能で、他のプログラム (プロセス) がファイルを開く動作をフックして、他のプログラム (プロセス) より先にファイルの内容が安全であるかスキャンする動作をしています。こうした動作の結果として、Active Directory の機能でファイルへのアクセス (レジストリ アクセスのためのレジストリ ファイルのアクセスも含む) が行われる際、アンチウイルス ソフトウェアが同じファイルにアクセスする動作が発生し、アンチウイルス ソフトウェアの動作速度やタイミングによっては Active Directory の機能でファイルへのアクセスが失敗してしまう場合が考えられます。
実際にこうした問題が生じる場合があるため、一時的な回避策として、また Active Directory の動作上の問題の原因がアンチウイルス ソフトウェアにあるのかどうかを切り分けるためのガイドラインとして、サポート技術情報が公開されています。

Virus scanning recommendations for Enterprise computers that are running currently supported versions of Windows
http://support.microsoft.com/kb/822158/en-us
現在サポートされているバージョンの Windows を実行しているエンタープライズ コンピューターでウイルス スキャンを行う場合の推奨事項
http://support.microsoft.com/kb/822158/ja

特定のフォルダやファイルをアンチウイルス ソフトウェアのスキャンから除外する事で現象が回避できるなら、原因はアンチウイルス ソフトウェアの動作にあると考えられる。技術情報にも書かれているが、スキャンから除外する事はセキュリティー レベルを低下させる事につながる。そのため回避策としては一時的な採用に留め、アンチウイルス ソフトウェアのベンダーに相談する (サポートを求める) 事が技術情報でも推奨されている。

技術情報の日本語版が機械翻訳なので、以下に簡単に概要を記す。あくまでも「概要」なので、実環境に適用する場合は原文とそこからリンクされている関連情報を熟読した上で、利用者自身の判断とリスクで行う事。

注意事項
ファイルをスキャンから除外する場合、拡張子のみで除外をしていしない事。同じ拡張子のファイルは他の用途にも利用されており、それらすべてを除外する事は危険である。可能な限りフォルダ名 (パス) とファイル名で除外するファイルを限定すること。

Windows クライアントと Windows サーバーの場合

以下のフォルダ/ファイルを除外する

  • Windpws Update と自動更新のファイル
    • %windir%\SoftwareDistribution\Datastore フォルダの Datastore.edb
    • %windir%\SoftwareDistribution\Datastore\Logs フォルダ、特に Res*.log、Res*.jrs、Edb.chk、Tmp.edb
  • Windows のセキュリティー ファイル
    • %windir%\Security\Database フォルダの *.edb、*.sdb、*.log、*.chk、*.jrs
  • グループ ポリシーの関連ファイル
    • %allusersprofile% フォルダの NTUser.pol
    • %Systemroot%\System32\GroupPolicy フォルダの Registry.pol

Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 2000 ドメイン コントローラーの場合

以下のフォルダ/ファイルを除外する

  • ACtive Directory とそれに関連したファイル
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File で示されているフォルダ (既定は %windir%\Ntds) の Ntds.dit と Ntds.pat
    • HKEY_LOCAL_MACHINE\System\CurrentControl\SetServices\NTDS\Parameters\Database Log Files Path で示されているフォルダ (既定は%windir%\Ntds) の EDB*.log、Res*.log、Res*.jrs、Ntds.pat
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory で示されているフォルダの Temp.edb、Edb.chk
  • SYSVOL のファイル
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory で示されているフォルダ (既定は %windir%\Ntfrs) の edb.chk、Ntfrs.jdb、*.log
    • HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory で示されているフォルダ (既定は %windir%\Ntfrs) の Eedb*.log、Edb*.jrs (Windows Server 2008 および Windows Server 2008 R2 の場合) と JetLogEdb*.jrs (Windows Server 2008 および Windows Server 2008 R2 の場合)
    • HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage で示されているフォルダ (既定は %systemroot%\Sysvol\Staging areas) の Nntfrs_cmp*.*
    • %systemroot%\SysvolSysvol フォルダの以下のファイル
      • *.adm
      • *.admx
      • *.adml
      • Registry.pol
      • *.aas
      • *.inf
      • Fdeploy.inf
      • Scripts.ini
      • *.ins
      • Oscfilter.ini
  • FSR プレインストール フォルダ (Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory) とそのサブ フォルダ内のの Ntfrs*.*
  • HKEY_LOCAL_MACHINE\System\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path > で示されている場所 (既定は %systemdrive%\System Volume Information\DFSR) にある以下の DFSR データベースと作業ファイル
    • $db_normal$
    • FileIDTable_2
    • SimilarityTable_2
    • *.xml
    • $db_dirty$
    • Dfsr.db
    • Fsr.chk
    • *.frx
    • *.log
    • Fsr*.jrs
    • Tmp.edb
  • FRS または DFSR で複製されるSYSVOL のファイル
  • DHCP のファイル
    • %systemroot%\System32\DHCP フォルダの以下のファイル
      • *.mdb
      • *.pat
      • *.log
      • *.chk
      • *.edb

Windows Server 2008, Windows Server 2003, and Windows 2000ドメイン コントローラーの場合

  • DNS のファイル
    • %systemroot%\System32\Dns フォルダの *.log、*.dns、BOOT
  • WINS のファイル
    • %systemroot%\System32\Wins フォルダの *.chk、*.log、*.mdb

Hyper-V を利用している場合

以下のサポート技術情報を参照の事

Virtual machines are missing in the Hyper-V Manager Console or when you create or start a virtual machine, you receive one of the following error codes: “0x800704C8”, “0x80070037” or “0x800703E3”
http://support.microsoft.com/kb/961804/

繰り返しになるが、実環境に適用する場合は原文とそこからリンクされている関連情報を熟読した上で、利用者自身の判断とリスクで適用して欲しい。

2011/12/16 追記 KB822158 が日本語化されているのに気付いたのでその部分を修正しました。

広告

1件のコメント »

  1. […] […]

    ピンバック by ウイルススキャンの除外設定に関して « MCTの憂鬱 — 2011年12月16日 @ 9:13 AM


RSS feed for comments on this post. TrackBack URI

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

WordPress.com Blog.

%d人のブロガーが「いいね」をつけました。