[改訂版] DPM で保護を実施する際のウィルス対策ソフトの設定について

こんにちは、日本マイクロソフト System Center Support Team の久保です。

Data Protection Manager (DPM) の運用を行うなかで、ウイルス対策ソフトとの競合によりバックアップが失敗するという事象が発生することがございます。
事象発生の予防や、バックアップ失敗時に切り分けの一つとして、ウイルス対策ソフトの除外設定についてご紹介いたします。

一般的に、DPM がウイルス対策ソフトより受ける影響には、以下のシナリオがございます。

1. DPM エージェント (DPMRA.exe) のプロセスの動作を全て監視することで、全ファイルへアクセスのモニタリングが発生する。これにより、DPM のバックアップ パフォーマンスが悪化するとともに、余分な I/O 負荷も発生する。
2. DPM エージェントの変更点をバックアップするという動作において、保護対象側でバックアップが必要と判断したファイルを、ウイルス対策ソフトがウイルスと認識した場合に、ドライバ レベルで該当ファイルへのアクセスを拒否することで、バックアップに失敗する。
3. DPM サーバー側のレプリカ ボリュームのファイルをウイルス対策ソフトが削除してしまい、保護対象側の変更点が反映出来なくなり、バックアップに失敗する。

- 「クリーンアップ」や「検疫」について -

上記シナリオ 2 や 3 につきまして、「クリーンアップ」や「検疫」といったウイルス対策ソフト固有の、ファイル削除以外の方法による安全なファイル保持方法を使用した場合には、ファイルは存在するものの、ファイルへのアクセスはブロックする、といった処理がウイルス対策ソフトのフィルタ ドライバ レベルで行われる場合がございます。
DPM は同期を行う際に、保護対象においてどのファイルがいつ変更されたのかというリスト (変更ジャーナル) を参照し、全てのファイルの変更点をバックアップしております。しかし、このようなウイルス対策ソフトによる一部のファイルに対するブロックが行われた場合には、同期処理に異常が発生し、バックアップを行う事は出来ません。
同期においては、前回の同期や整合性チェック以降、保護対象においてどのような変更が発生したのかをブロック単位で監視しているため、上記 シナリオ 2 や 3 のシナリオが発生した場合には、レプリカボリュームと保護対象の差分の監視の結果に不整合が発生し、同期は行えず、整合性エラーが検知されることとなります。
また、整合性エラー発生にともなう整合性 チェックを実施した際に、バックアップすべきファイルがウイルス対策ソフトからブロックされた場合、整合性チェックは失敗します。

- 「隔離」処理について -

「隔離」処理の実装に依存いたしますが、DPM のバックアップ対象外のボリュームに対してファイルを隔離し、DPM のバックアップ対象のボリュームからは削除する場合には上記のようなバックアップの問題は起きないものと考えられます。
一方で、DPM のバックアップ対象のボリュームに、隔離されたファイルが残されておりドライバ レベルでのアクセスが排他処理されてしまうケースではバックアップに失敗します。
以上の内容を踏まえた上で、以下の設定を実施して下さい。

- ウイルス対策ソフトの設定について -

以下のプロセスとパスについて、ウイルス対策ソフトより除外する必要がございます。
詳細な設定手順についてはウイルス対策ソフトにより様々ですので、ウイルス対策ソフトのヘルプをご確認いただくか、作成元に手順をご確認ください。

A. DPM 関連プロセス・フォルダ のリアルタイム監視除外
B. csc.exe の除外
C. レプリカ の パスの除外
D. ウイルスと判断されたファイルの「削除」設定

※ このブログ上で "<DPM のインストール パス>" と記載されているパスは、バージョンやインストール方法によって異なります。既定では以下の通りです。

DPM 2007   : C:\Program Files\Microsoft DPM\
DPM 2010   : C:\Program Files\Microsoft DPM\
DPM 2012   : C:\Program Files\Microsoft System Center 2012\DPM\
DPM 2012 R2: C:\Program Files\Microsoft System Center 2012 R2\DPM\

 

A. DPM 関連プロセス・フォルダの リアルタイム監視除外
==========================================

DPM サーバー、および DPM の保護対象にてウイルス対策ソフトを導入する場合は DPMRA.exe のリアルタイム モニタリングを無効にします。
また、保護されたすべてのデータ ソースのレプリカに対するリアルタイム モニタリングを無効にします。

DPMRA.exe のパスをご確認の上、除外設定を行ってください。
なお、既定では DPMRA.exe は以下のパスに配置されます。

● DPM サーバー上
-------------------------------

<DPM のインストール パス>\DPM\bin\DPMRA.exe

● 保護対象サーバー上
-------------------------------

C:\Program Files\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe
また、DPM 2010 以降のバージョン (DPM 2010 / 2012 / 2012 R2) におきましては、以下のパス配下もリアルタイム監視から除外いただくことを推奨いたします。

※ DPM サーバーおよび保護対象サーバー上の両方にて設定を行ってください。

<DPM のインストール パス>\DPM\XSD
<DPM のインストール パス>\DPM\Temp\MTA
~ 参考資料 ~

> You receive job status failure messages in Data Protection Manager
https://support.microsoft.com/kb/928840/en-us

 

※※2018/06/27 追記※※
DPMサーバー、保護対象サーバー上の System Volume Information フォルダ配下のファイルも DPM で使用されます。
そのため、DPMサーバー、保護対象サーバー上の各ボリュームの System Volume Information フォルダも除外設定を行ってください。
System Volume Information フォルダは各ボリュームの直下にございますので、C ボリュームの場合、パスは "C:\System Volume Information" となります。

 

B. csc.exe について
==========================================

DPM サーバーにおいて、DPM 管理者コンソールの使用中にパフォーマンスが低下するといった場合に備え、C# コンパイラである csc.exeプロセスが生成するファイルを、ウイルス対策ソフトがスキャンしないよう csc.exe プロセスのリアルタイム モニタリングを無効にします。
DPMRA.exe 同様に、csc.exe のパスをご確認の上、除外設定を行ってください。なお、既定では csc.exe は以下のパスに配置されます。

※ 保護対象においては当該設定は不要です。

C:\Windows\Microsoft.net\Framework\v2.0.50727\csc.exe
~ 参考資料 ~

> Data Protection Manager 2007 の展開計画
https://download.microsoft.com/download/7/B/5/7B570775-83A6-45F9-88AA-B81527B6EE42/DPMv2Planning.doc
#「ウイルスのリアルタイム モニタリングの構成」(P.66) をご参考下さい。なお、本内容は、DPM 2010 および DPM 2012 R2 についても同様でございます。

 

C. レプリカのパスについて
==========================================

保護された全てのデータソースのレプリカのパスは以下の手順で確認します。
ウイルス対策ソフトで除外設定をする場合は、以下の手順にてパスを確認し、設定くださいますようお願いいたします。

● レプリカのパスの確認方法
-------------------------------

1. DPM 管理者コンソールを起動します。
2. ナビゲーション バーで、[保護] をクリックします。
3. 保護対象のデータソースを選択すると画面下の [詳細] の項に [レプリカのパス : クリックすると詳細が表示されます。] と表示されますので、クリックします。

例: 以下のようにレプリカ ボリュームのパスがございます。
(マウント ポイントを使用して“<DPM のインストール パス>\DPM\Volumes\Replica\" 配下にマウントされております。)
c:\Program Files\Microsoft DPM\DPM\Volumes\Replica\MOSSDB.contoso.local\File System\E-9af215e2-ead8-11dd-a8ea-00155dd94c04\677656bd-580b-4fa8-8dd4-0c6a046ace88\Full\
4. 表示された [レプリカのパスの詳細] ダイアログボックスに表示されたパスをウイルス対策ソフトウェアのリアルタイム モニタリング除外対象として登録します。

 

D. ウイルスと判断されたファイルの「削除」設定
==========================================

ウイルス対策ソフトウェアによりウイルスと判断されたファイルについては、削除するよう設定して下さい。
※ DPM 側からは一般的にこういったウイルス対策ソフトの影響が考えられる場合は「隔離」オプションを「削除」に変更していただく必要がございます。

※ 今回ご紹介する設定を実施していただいても、ウイルス対策ソフトの影響を完全に除外することができない可能性もございます。

上記設定を実施していただいても事象が改善しない場合で、ウイルス対策ソフトのドライバ レベルでの影響が考えられる場合には、切り分けとしてウイルス対策ソフトのサービスを停止してただいたうえで、様子をご確認ください。本切り分けにて事象が改善された場合には、ウイルス対策ソフトのアンインストールの実施をお願い致します。

なお、この場合にはウイルス対策ソフトのアンインストール以外による対処方法はございませんので、あらかじめご承知くださいますようお願い申し上げます。

> DPM サーバーでのウイルス対策ソフトウェアの実行
https://technet.microsoft.com/ja-jp/library/hh757911(v=sc.12).aspx