Logg på med Microsoft
Logg på, eller opprett en konto.
Hei,
Velg en annen konto.
Du har flere kontoer
Velg kontoen du vil logge på med.

Gjelder for:

Windows Server 2022, alle versjoner
Windows Server 2019, alle versjoner
Windows Server 2016, alle versjoner
Windows Server 2012 R2, alle versjoner
Windows Server 2012, alle versjoner
Windows Server 2008 R2 SP1, alle versjoner
Windows 11, alle versjoner
Windows 10, alle utgaver
Windows 8.1, alle utgaver
Windows 7, alle utgaver

Innledning

Denne artikkelen inneholder anbefalinger for å hjelpe en administrator med å finne årsaken til potensiell ustabilitet i følgende scenario:

Symptomer

Den Windows-baserte eller Windows Server-baserte datamaskinen opplever følgende problemer:

  • Systemytelse

    • Høy CPU eller økt CPU-bruk

      • Brukermodus

      • Kjernemodus

    • Kjerneminnelekkasjer

      • Ikke-sideutvalg

      • Sideutvalg

      • Håndter lekkasje

    • Treghet

      • Filkopi når du bruker Windows Utforsker

        • Filkopi når du bruker en konsollapp (for eksempel cmd.exe)

      • Sikkerhetskopieringsoperasjoner

  • Stabilitet

    • Treghet i programmet

      • Få tilgang til en delt nettverksressurs eller en tilordnet stasjon

      • Midlertidig mangel på svar i Windows Utforsker

    • Programfeil

      • Tilgangstillatelse

    • Programmet slutter å svare

      • Vranglåser

        • Eksternt prosedyrekall (RPC)

        • Navngitte datakanaler

      • Raseforhold

      • Minnelekkasje i private byte

      • Minnelekkasje for virtuelle byte

      • Minnefragmentering av virtuelle byte

  • Pålitelighetsproblemer i operativsystemet

    • Systemet slutter å svare (du må tvinge en omstart for å gjenopprette)

      • Vranglåser

      • Raseforhold

      • Håndter lekkasjer

      • Ikke-siders bassenglekkasjer

      • Sidede bassenglekkasjer

  • Stoppfeil (også kjent som feilkontroller)

Hvis du vil ha mer informasjon, kan du se følgende artikler:

Løsning

Følg disse trinnene før du legger til antivirusutelukkelser:

  1. Oppdater definisjonene for tredjeparts antivirusprogram. Hvis problemet vedvarer, kan du sende en falsk positiv (fp) til tredjeparts antivirusleverandørstøtte.

  2. Kontroller at du ikke har angitt en bestemt funksjonalitet i en herdet eller aggressiv modus som forårsaker flere av følgende symptomer:

    • Falske positiver

    • Programkompatibilitetsproblemer

    • Økt ressursbruk (for eksempel høy CPU-bruk (brukermodus eller kjernemodus) eller høy minnebruk (brukermodus eller kjernemodus)

    • Forsinkelser

    • Programmer slutter å svare

    • Programfeil

    • System som ikke svarer

  3. Oppdater versjonen av tredjeparts antivirusprogram. Hvis du vil teste, kan du se
    Hvordan deaktivere kjernemodusfilterdriveren midlertidig i Windows

  4. Samarbeid med tredjepartsleverandøren for antivirus for å feilsøke ytterligere. Du må kanskje ha følgende type avanserte data tilgjengelig for å bidra til å begrense problemet:

Løsning

ViktigDenne artikkelen inneholder informasjon som viser hvordan du bidrar til å redusere sikkerhetsinnstillingene eller hvordan du deaktiverer sikkerhetsfunksjoner midlertidig på en datamaskin. Du kan gjøre disse endringene for å forstå innholdet i et bestemt problem. Før du gjør disse endringene, anbefaler vi at du evaluerer risikoene som er knyttet til å implementere denne midlertidige løsningen i det bestemte miljøet. Hvis du implementerer denne midlertidige løsningen, må du utføre eventuelle nødvendige ytterligere trinn for å beskytte datamaskinen.

Advarsel

  • Vi anbefaler ikke denne midlertidige løsningen. Vi gir imidlertid denne informasjonen slik at du kan implementere denne midlertidige løsningen etter eget skjønn. Bruk denne midlertidige løsningen på eget ansvar.

  • Denne midlertidige løsningen kan gjøre en datamaskin eller et nettverk mer sårbart for angrep fra ondsinnede brukere eller skadelig programvare, for eksempel virus. 

  • Vi anbefaler at du bruker disse innstillingene midlertidig for å evaluere systemvirkemåten.

  • Vi er klar over risikoen for å ekskludere bestemte filer eller mapper som er nevnt i denne artikkelen, fra skanninger som er gjort av antivirusprogramvaren. Systemet blir tryggere hvis du ikke utelater filer eller mapper fra skanninger.

  • Når du skanner disse filene, kan det oppstå pålitelighetsproblemer med ytelsen og operativsystemet på grunn av fillåsing.

  • Ikke utelat noen av disse filene basert på filtypen. Ikke utelat for eksempel alle filer som har filtypen DIT. Microsoft har ingen kontroll over andre filer som kan bruke de samme filtypene som filene som er beskrevet i denne artikkelen.

  • Denne artikkelen inneholder både filnavn og mapper som kan utelates. Alle filene og mappene som er beskrevet i denne artikkelen, er beskyttet av standardtillatelser for å tillate bare SYSTEM- og administratortilgang, og de inneholder bare operativsystemkomponenter. Det kan være enklere å utelate en hel mappe, men det kan hende at du ikke gir så mye beskyttelse som å utelate bestemte filer basert på filnavn.

  • Å legge til antivirusutelukkelser bør alltid være siste utvei hvis det ikke er mulig å gjøre noe annet. 

Slå av skanning av Windows Update- eller Automatiske oppdateringsfiler

  • Deaktiver skanning av Windows Update- eller Automatisk oppdatering-databasefilen (Datastore.edb). Denne filen er plassert i følgende mappe:

         %windir%\SoftwareDistribution\Datastore

  • Deaktiver skanning av loggfilene som er plassert i følgende mappe:

         %windir%\SoftwareDistribution\Datastore\Logs

    Ekskluder følgende filer:

    • Edb*.jrs

    • Edb.chk

    • Tmp.edb

  • Jokertegnet (*) angir at det kan være flere filer.

Deaktivere skanning av Windows Sikkerhet filer

  • Legg til følgende filer i %windir%\Security\Database-banen for utelatelseslisten:

    • *.edb

    • *.Sdb

    • *.Logge

    • *.Chk

    • *.jrs

    • *.xml

    • *.csv

    • *.cmtx

    Obs!   Hvis disse filene ikke utelates, kan antivirusprogramvaren hindre riktig tilgang til disse filene, og sikkerhetsdatabaser kan bli skadet. Skanning av disse filene kan hindre at filene brukes, eller det kan hindre at en sikkerhetspolicy brukes på filene. Disse filene bør ikke skannes fordi antivirusprogrammer kanskje ikke behandler dem som rettighetsbeskyttede databasefiler på riktig måte.

    Dette er de anbefalte utelukkelsene. Det kan være andre filtyper som ikke er inkludert i denne artikkelen, som bør utelates.

Deaktivere skanning av gruppepolicy-relaterte filer

  • gruppepolicy brukerregisterinformasjon. Disse filene er plassert i følgende mappe:

         %allusersprofile%\

    Ekskluder følgende fil:

         NTUser.pol

  • gruppepolicy klientinnstillingerfiler. Disse filene er plassert i følgende mappe:

         %SystemRoot%\System32\GroupPolicy\Machine\
         %SystemRoot%\System32\GroupPolicy\User\

    Ekskluder følgende filer:

         Registry.pol
         Registry.tmp

Obs!: gruppepolicy unntak gjelder bare for Windows Server. Hvis du bruker Microsoft Defender Antivirus, inkluderes gruppepolicy utelukkelser i automatiske utelukkelser for serverrolle.

Slå av skanning av brukerprofilfiler

  • Brukerregisterinformasjon og støttefiler. Filene er plassert i følgende mappe:

         userprofile%\

    Ekskluder følgende filer:

         NTUser.dat*

Kjører antivirusprogramvare på domenekontrollere

Fordi domenekontrollere tilbyr en viktig tjeneste til klienter, må risikoen for forstyrrelse av aktivitetene deres fra skadelig kode, skadelig programvare eller fra et virus minimeres. Antivirusprogramvare er den allment aksepterte måten å redusere risikoen for infeksjon på. Installer og konfigurer antivirusprogramvare slik at risikoen for domenekontrolleren reduseres så mye som mulig, og ytelsen påvirkes så lite som mulig. Listen nedenfor inneholder anbefalinger for å hjelpe deg med å konfigurere og installere antivirusprogramvare på en Windows Server-domenekontroller.

Advarsel Vi anbefaler at du bruker følgende angitte konfigurasjon på et testsystem for å sikre at det i det bestemte miljøet ikke introduserer uventede faktorer eller kompromitterer stabiliteten til systemet. Risikoen ved for mye skanning er at filene er upassende flagget som endret. Dette fører til for mye replikering i Active Directory. Hvis testing bekrefter at replikering ikke påvirkes av følgende anbefalinger, kan du bruke antivirusprogramvaren på produksjonsmiljøet.

Merk Spesifikke anbefalinger fra leverandører av antivirusprogramvare kan erstatte anbefalingene i denne artikkelen.

  • Antivirusprogramvaren må være installert på alle domenekontrollere i virksomheten. Ideelt sett bør du prøve å installere slik programvare på alle andre server- og klientsystemer som må samhandle med domenekontrollerne. Det er optimalt å fange opp skadelig programvare tidligst, for eksempel i brannmuren eller på klientsystemet der skadelig programvare introduseres. Dette hindrer at den skadelige programvaren noensinne når infrastruktursystemene som klientene er avhengige av.

  • Bruk en versjon av antivirusprogramvaren som er utformet for å fungere med Active Directory-domenekontrollere, og som bruker de riktige API-ene (Application Programming Interfaces) til å få tilgang til filer på serveren. Eldre versjoner av programvare for de fleste leverandører endrer metadataene til en fil på en upassende måte når filen skannes. Dette fører til at motoren for filreplikeringstjenesten gjenkjenner en filendring og planlegger derfor filen for replikering. Nyere versjoner forhindrer dette problemet.
    Hvis du vil ha mer informasjon, kan du se følgende artikkel i Microsoft Knowledge Base:

    815263Antivirus-, sikkerhetskopierings- og diskoptimaliseringsprogrammer som er kompatible med File Replication Service

  • Ikke bruk en domenekontroller til å surfe på Internett eller til å utføre andre aktiviteter som kan introdusere skadelig kode.

  • Vi anbefaler at du minimerer arbeidsbelastningene på domenekontrollere. Unngå å bruke domenekontrollere i en filserverrolle når det er mulig. Dette reduserer virusskanningsaktiviteten på delte filressurser og minimerer ytelsen.

  • Ikke plasser Active Directory- eller FRS-databaser og loggfiler på komprimerte volumer for NTFS-filsystemet.

Deaktivere skanning av Active Directory- og Active Directory-relaterte filer

  • Utelat hoveddatabasefilene for NTDS. Plasseringen av disse filene er angitt i følgende registerundernøkkel:



    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Standardplasseringen er %windir%\Ntds. Ekskluder følgende filer:

    • Ntds.dit

    • Ntds.pat

  • Utelat Active Directory-transaksjonsloggfilene. Plasseringen av disse filene er angitt i følgende registerundernøkkel:



    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Standardplasseringen er %windir%\Ntds. Ekskluder følgende filer:

    • EDB*.log

    • Res*.log

    • Edb*.jrs

    • Ntds.pat

  • Utelat filene i NTDS-arbeidsmappen som er angitt i følgende registerundernøkkel:



    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory Ekskluder følgende filer:

    • Temp.edb

    • Edb.chk

Deaktiver skanning av SYSVOL-filer

  • Deaktiver skanning av filer i arbeidsmappen for Filreplikeringstjeneste (FRS) som er angitt i følgende registerundernøkkel:



    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Working Directory Standardplasseringen er %windir%\Ntfrs. Utelat følgende filer som finnes i mappen:

    • edb.chk i mappen %windir%\Ntfrs\jet\sys

    • Ntfrs.jdb i mappen %windir%\Ntfrs\jet

    • *.log in the %windir%\Ntfrs\jet\log folder

  • Deaktiver skanning av filer i FRS-databaseloggfilene som er angitt i følgende registerundernøkkel:



    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory Standardplasseringen er %windir%\Ntfrs. Utelat følgende filer:

    • Edb*.log (hvis registernøkkelen ikke er angitt)

    • FRS Working Dir\Jet\Log\Edb*.jrs

  • MerkInnstillinger for bestemte filutelukkelser er dokumentert her for fullstendighet. Disse mappene tillater som standard bare tilgang til system og administratorer. Kontroller at de riktige beskyttelsene er gjeldende. Disse mappene inneholder bare komponentarbeidsfiler for FRS og DFSR.

  • Deaktiver skanning av NTFRS-oppsamlingsmappen, som angitt i følgende registerundernøkkel:



    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage Som standard bruker oppsamling følgende plassering:

    %systemroot%\Sysvol\Oppsamlingsområder

  • Deaktiver skanning av DFSR-oppsamlingsmappen som angitt i msDFSR-StagingPath-attributtet for objektet CN=SYSVOL-abonnement, CN=Domain System Volume,CN=DFSR-LocalSettings,CN=DomainControllerName,OU=Domain Controllers,DC=DomainName i AD DS. Dette attributtet inneholder banen til den faktiske plasseringen som DFS-replikering bruker til fasefiler. Ekskluder følgende filer:

    • Ntfrs_cmp*.*

    • *.frx

  • Deaktiver skanning av filer i Sysvol\Sysvol-mappen eller SYSVOL_DFSR\Sysvol-mappen.

    Gjeldende plassering av Sysvol\Sysvol- eller SYSVOL_DFSR\Sysvol-mappen og alle undermappene er målet for arkivsystemets reanalysering av replikasettroten. Mappene Sysvol\Sysvol og SYSVOL_DFSR\Sysvol bruker følgende plasseringer som standard:

    %systemroot%\Sysvol\Domain
    %systemroot%\Sysvol_DFSR\Domain

    Banen til den gjeldende aktive SYSVOL refereres av NETLOGON-delingen og kan bestemmes av SysVol-verdinavnet i følgende undernøkkel:

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

  • Utelat følgende filer fra denne mappen og alle undermappene:

    • *.Adm

    • *.Admx

    • *.adml

    • Registry.pol

    • Registry.tmp

    • *.Aas

    • *.Inf

    • Scripts.ini

    • *.Ins

    • Oscfilter.ini

  • Deaktiver skanning av filer i mappen FRS Forhåndsinstaller som er på følgende plassering:

    Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    Forhåndsinstalleringsmappen er alltid åpen når FRS kjører.

    Utelat følgende filer fra denne mappen og alle undermappene:

    • Ntfrs*.*

  • Deaktiver skanning av filer i DFSR-databasen og arbeidsmapper. Plasseringen er angitt av følgende registerundernøkkel:



    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path I denne registerundernøkkelen er Bane banen til en XML-fil som angir navnet på replikeringsgruppen. I dette eksemplet vil banen inneholde «Domenesystemvolum».

    Standardplasseringen er følgende skjulte mappe:

         %systemdrive%\System Volume Information\DFSR

    Utelat følgende filer fra denne mappen og alle undermappene:

    • $db_normal$

    • FileIDTable_*

    • SimilarityTable_*

    • *.xml

    • $db_dirty$

    • $db_clean$

    • $db_lost$

    • Dfsr.db

    • Fsr.chk

    • *.frx

    • *.Logge

    • Fsr*.jrs

    • Tmp.edb

  • Obs!   Hvis en av disse mappene eller filene flyttes eller plasseres på en annen plassering, kan du skanne eller utelate det tilsvarende elementet.

Deaktivere skanning av DFS-filer

De samme ressursene som er utelatt for et SYSVOL-replikasett, må også utelates når FRS eller DFSR brukes til å replikere delinger som er tilordnet dfs-rot- og koblingsmålene på Windows Server 2008 R2-baserte eller Windows Server 2008-baserte medlemsdatamaskiner eller domenekontrollere.

Deaktivere skanning av DHCP-filer

DHCP-filer som skal utelates, finnes som standard i følgende mappe på serveren:

%systemroot%\System32\DHCP Utelat følgende filer fra denne mappen og alle undermappene:

  • *.Mdb

  • *.Pat

  • *.Logge

  • *.Chk

  • *.edb

Plasseringen av DHCP-filer kan endres. Hvis du vil finne gjeldende plassering for DHCP-filene på serveren, merker du av for parameterne DatabasePath, DhcpLogFilePath og BackupDatabasePath som er angitt i følgende registerundernøkkel:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Deaktivere skanning av DNS-filer

DNS bruker følgende mappe som standard:

%systemroot%\System32\Dns Utelat følgende filer fra denne mappen og alle undermappene:

  • *.Logge

  • *.Dns

  • STØVEL

Deaktiver skanning av WINS-filer

SOM standard bruker WINS følgende mappe:

     %systemroot%\System32\Wins
Utelat følgende filer fra denne mappen og alle undermappene:

  • *.Chk

  • *.Logge

  • *.Mdb

For datamaskiner som kjører Hyper-V-baserte versjoner av Windows

I noen tilfeller, på en Windows Server 2008-basert datamaskin som har Hyper-V-rollen installert eller på en Microsoft Hyper-V Server 2008 eller på en Microsoft Hyper-V Server 2008 R2-basert datamaskin, kan det være nødvendig å konfigurere sanntidsskanningskomponenten i antivirusprogramvaren for å utelate filer og hele mapper. Hvis du vil ha mer informasjon, kan du se følgende artikkel i Microsoft Knowledge Base:

  • 961804Virtuelle maskiner mangler, eller feil 0x800704C8, 0x80070037 eller 0x800703E3 oppstår når du prøver å starte eller opprette en virtuell maskin

Neste trinn

Hvis systemytelsen eller stabiliteten er forbedret av anbefalingene som er gjort i denne artikkelen, kan du kontakte leverandøren av antivirusprogramvaren for instruksjoner eller for en oppdatert versjon eller innstillinger for antivirusprogramvaren.

Obs!   Tredjeparts leverandøren av antivirusprogrammet kan samarbeide med Microsofts kundestøtteteam om en kommersielt rimelig innsats.

Referanser

Serviceavtale for Microsoft Kundestøtte

Avtale for Microsoft-tjenester

Microsoft Virus Initiative

Endringslogg

 Tabellen nedenfor oppsummerer noen av de viktigste endringene i dette emnet.

Dato

Beskrivelse

17. august 2021 kl.

Oppdaterte notatet i delen Mer informasjon: «Obs! På Windows 10, Windows Server 2016 og nyere ...» 

2. november 2021 kl.

Oppdaterte notatet i delen Mer informasjon: «Dette gjelder også for Windows Server 2012 R2 ...»

14. mars 2022 kl.

Revisjon av hele artikkelen. La til inndelingene Symptomer og Oppløsning, og omorganiserte det gjenværende innholdet.

14. juli 2023 kl.

La til et tredje punktelement i «Innføring»-delen. La til en inndelingsoverskrift for Symptomer. Fjernet inndelingen Mer informasjon.

7. august 2023 kl.

Løste oppsettsproblemer som kjørte flere linjer sammen i utelatelseslistene
Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Oppdag Community

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.

Spør Microsoft-fellesskapet

Teknisk fellesskap for Microsoft

Windows Insider-medlemmer

Microsoft 365 Insiders

Var denne informasjonen nyttig?

Hvor fornøyd er du med språkkvaliteten?
Hva påvirket opplevelsen din?
Når du trykker på Send inn, blir tilbakemeldingen brukt til å forbedre Microsoft-produkter og -tjenester. IT-administratoren kan samle inn disse dataene. Personvernerklæring.

Takk for tilbakemeldingen!

×