Si applica a:
Windows Server 2022, tutte le edizioni
Windows Server 2019, tutte le edizioni
Windows Server 2016, tutte le edizioni
Windows Server 2012 R2, tutte le edizioni
Windows Server 2012, tutte le edizioni
Windows Server 2008 R2 SP1, tutte le edizioni
Windows 11, tutte le edizioni
Windows 10, tutte le edizioni
Windows 8.1, tutte le edizioni
Windows 7, tutte le edizioni
Introduzione
Questo articolo contiene suggerimenti utili per aiutare un amministratore a determinare la causa di potenziale instabilità nello scenario seguente:
-
Il problema si verifica in un computer che esegue una versione di Windows o Windows Server elencata nella sezione "Si applica a".
-
Il sistema locale viene usato insieme al software antivirus in un ambiente di dominio Active Directory o in un ambiente aziendale gestito.
-
Se si usa Microsoft Defender Antivirus, alcune o tutte le esclusioni suggerite descritte in questo articolo potrebbero essere incorporate o fornite da esclusioni automatiche. Per altre informazioni, vedere gli articoli seguenti:
Sintomi
I problemi seguenti si verificano nel computer basato su Windows o windows server:
-
Prestazioni sistema
-
Cpu elevata o uso maggiore della CPU
-
Modalità utente
-
Modalità kernel
-
-
Perdite di memoria kernel
-
Pool non di paging
-
Pool di paging
-
Perdita dell'handle
-
-
Lentezza
-
Copia del file quando si usa Esplora risorse
-
Copia del file quando usi un'app console (ad esempio, cmd.exe)
-
-
Operazioni di backup
-
-
-
Stabilità
-
Lentezza dell'applicazione
-
Accesso a una condivisione di rete o a un'unità mappata
-
Mancanza temporanea di risposta in Esplora risorse
-
-
Errore dell'applicazione
-
Violazione di accesso
-
-
L'applicazione smette di rispondere
-
Deadlock
-
RPC (Remote Procedure Call)
-
Named pipes
-
-
Condizioni di gara
-
Perdita di memoria dei byte privati
-
Perdita di memoria dei byte virtuali
-
Frammentazione della memoria dei byte virtuali
-
-
-
Problemi di affidabilità del sistema operativo
-
Il sistema smette di rispondere (è necessario forzare un riavvio per ripristinarlo)
-
Deadlock
-
Condizioni di gara
-
Perdite di handle
-
Perdite di pool non di paging
-
Perdite di pool di paging
-
-
-
Errori irresibili (noti anche come controlli dei bug)
Per altre informazioni, vedere gli articoli seguenti:
Risoluzione
Prima di aggiungere esclusioni antivirus, segui questi passaggi:
-
Aggiornare le definizioni per il programma antivirus di terze parti. Se il problema persiste, invia un falso positivo (fp) al supporto del fornitore dell'antivirus di terze parti.
-
Verificare di non aver impostato una funzionalità specifica in una modalità avanzata o aggressiva che causa più dei sintomi seguenti:
-
Falsi positivi
-
Problemi di compatibilità delle applicazioni
-
Aumento dell'uso delle risorse (ad esempio, uso elevato della CPU (modalità utente o modalità kernel) o uso di memoria elevata (modalità utente o modalità kernel)
-
Rallentamenti
-
Le applicazioni smettono di rispondere
-
Errori delle applicazioni
-
Sistema che non risponde
-
-
Aggiornare la versione del programma antivirus di terze parti. In alternativa, per i test, vedi
Come disattivare temporaneamente il driver del filtro in modalità kernel in Windows -
Collabora con il fornitore di antivirus di terze parti per risolvere ulteriormente i problemi. Potrebbe essere necessario avere a disposizione i seguenti tipi di dati avanzati per limitare il problema:
Soluzione alternativa
ImportanteQuesto articolo contiene informazioni che illustrano come ridurre le impostazioni di sicurezza o come disattivare temporaneamente le funzionalità di sicurezza in un computer. È possibile apportare queste modifiche per comprendere la natura di un problema specifico. Prima di apportare queste modifiche, è consigliabile valutare i rischi associati all'implementazione di questa soluzione alternativa in un particolare ambiente. Se si implementa questa soluzione alternativa, eseguire i passaggi aggiuntivi appropriati per proteggere il computer.
Attenzione
-
Questa soluzione alternativa non è consigliata. Queste informazioni vengono tuttavia fornite in modo che l'utente possa implementare questa soluzione alternativa a propria discrezione. Usare questa soluzione alternativa a proprio rischio.
-
Questa soluzione alternativa potrebbe rendere un computer o una rete più vulnerabile agli attacchi da parte di utenti malintenzionati o di software dannoso, ad esempio virus.
-
È consigliabile applicare temporaneamente queste impostazioni per valutare il comportamento del sistema.
-
Siamo consapevoli del rischio di escludere le cartelle o i file specifici citati in questo articolo dalle analisi eseguite dal software antivirus. Il sistema sarà più sicuro se non escludi file o cartelle dalle scansioni.
-
Quando si analizzano questi file, potrebbero verificarsi problemi di prestazioni e affidabilità del sistema operativo a causa del blocco dei file.
-
Non escludere uno di questi file in base all'estensione del nome file. Ad esempio, non escludere tutti i file con estensione dit. Microsoft non ha alcun controllo su altri file che potrebbero usare le stesse estensioni dei file descritti in questo articolo.
-
Questo articolo fornisce sia i nomi di file che le cartelle che è possibile escludere. Tutti i file e le cartelle descritti in questo articolo sono protetti per impostazione predefinita per consentire solo l'accesso system e amministratore e contengono solo componenti del sistema operativo. L'esclusione di un'intera cartella potrebbe essere più semplice, ma potrebbe non offrire una protezione altrettanto alta rispetto all'esclusione di file specifici in base ai nomi file.
-
L'aggiunta di esclusioni antivirus dovrebbe sempre essere l'ultima risorsa se non sono possibili altre opzioni.
Disattivare l'analisi dei file di Windows Update o di aggiornamento automatico
-
Disattivare l'analisi del file di database Windows Update o di aggiornamento automatico (Datastore.edb). Il file si trova nella cartella seguente:
%windir%\SoftwareDistribution\Datastore
-
Disattivare l'analisi dei file di log che si trovano nella cartella seguente:
%windir%\SoftwareDistribution\Datastore\Logs
In particolare, escludere i file seguenti:-
Edb*.jrs
-
Chk
-
Tmp.edb
-
-
Il carattere jolly (*) indica che potrebbero essere presenti diversi file.
Disattivare l'analisi dei file di Sicurezza di Windows
-
Aggiungere i file seguenti nel percorso %windir%\Security\Database dell'elenco delle esclusioni:
-
*.edb
-
*.Sdb
-
*.Registro
-
*.Chk
-
*.Jrs
-
*.xml
-
*.csv
-
*.cmtx
Nota Se questi file non vengono esclusi, il software antivirus potrebbe impedire l'accesso appropriato a questi file e i database di sicurezza potrebbero danneggiarsi. L'analisi di questi file può impedire l'uso dei file o impedire l'applicazione di criteri di sicurezza ai file. Questi file non devono essere analizzati perché il software antivirus potrebbe non trattarli correttamente come file di database proprietari.
Queste sono le esclusioni consigliate. In questo articolo potrebbero essere inclusi altri tipi di file da escludere. -
Disattivare l'analisi dei file correlati Criteri di gruppo
-
Criteri di gruppo informazioni del Registro di sistema degli utenti. Questi file si trovano nella cartella seguente:
%allusersprofile%\
In particolare, escludere il file seguente:NTUser.pol
-
Criteri di gruppo file di impostazioni client. Questi file si trovano nella cartella seguente:
%SystemRoot%\System32\GroupPolicy\Machine\
%SystemRoot%\System32\GroupPolicy\User\
In particolare, escludere i file seguenti:Registry.pol
Registry.tmp
Nota: Criteri di gruppo esclusioni si applicano solo a Windows Server. Se usi Microsoft Defender Antivirus, le esclusioni Criteri di gruppo sono incluse nelle esclusioni automatiche dei ruoli del server.
Disattivare l'analisi dei file del profilo utente
-
Informazioni sul Registro di sistema degli utenti e file di supporto. I file si trovano nella cartella seguente:
userprofile%\
In particolare, escludere i file seguenti:
Ntuser*
Esecuzione di software antivirus nei controller di dominio
Poiché i controller di dominio forniscono un servizio importante ai client, il rischio di interruzione delle attività da codice dannoso, malware o virus deve essere ridotto a icona. Il software antivirus è il modo generalmente accettato per ridurre il rischio di infezione. Installare e configurare software antivirus in modo da ridurre il più possibile il rischio per il controller di dominio e influire il meno possibile sulle prestazioni. L'elenco seguente contiene suggerimenti utili per configurare e installare software antivirus in un controller di dominio di Windows Server.
Avviso È consigliabile applicare la seguente configurazione specificata a un sistema di test per assicurarsi che nel proprio ambiente specifico non introduca fattori imprevisti o comprometta la stabilità del sistema. Il rischio di un'analisi eccessiva è che i file vengano contrassegnati in modo inappropriato come modificati. Ciò causa una replica eccessiva in Active Directory. Se il test verifica che la replica non sia interessata dai suggerimenti seguenti, è possibile applicare il software antivirus all'ambiente di produzione.
Nota Consigli specifici dei fornitori di software antivirus potrebbero sostituisce le raccomandazioni contenute in questo articolo.
-
Il software antivirus deve essere installato in tutti i controller di dominio dell'azienda. Idealmente, provare a installare tale software su tutti gli altri sistemi server e client che devono interagire con i controller di dominio. È ottimale rilevare il malware al più presto, ad esempio nel firewall o nel sistema client in cui viene introdotto il malware. In questo modo il malware non raggiungerà mai i sistemi dell'infrastruttura da cui dipendono i client.
-
Usare una versione di software antivirus progettata per funzionare con i controller di dominio Active Directory e che utilizza le API (Application Programming Interfaces) corrette per accedere ai file sul server. Le versioni precedenti della maggior parte del software fornitore modificano in modo inappropriato i metadati di un file durante l'analisi del file. In questo modo il motore del servizio di replica dei file riconosce una modifica di file e quindi pianifica il file per la replica. Le versioni più recenti impediscono il problema.
Per altre informazioni, vedere l'articolo seguente nella Microsoft Knowledge Base:815263Programmi antivirus, di backup e di ottimizzazione disco compatibili con il servizio di replica dei file
-
Non usare un controller di dominio per esplorare Internet o eseguire altre attività che potrebbero introdurre codice dannoso.
-
È consigliabile ridurre al minimo i carichi di lavoro nei controller di dominio. Quando possibile, evitare di usare controller di dominio in un ruolo di file server. In questo modo si riduce l'attività di analisi antivirus nelle condivisioni file e si riduce al minimo il sovraccarico delle prestazioni.
-
Non inserire il database di Active Directory o FRS e i file di log nei volumi compressi del file system NTFS.
Disattivare l'analisi di Active Directory e dei file correlati ad Active Directory
-
Escludere i file di database NTDS principali. Il percorso di questi file è specificato nella seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File La posizione predefinita è %windir%\Ntds. In particolare, escludere i file seguenti:-
Ntds
-
Ntds.pat
-
-
Escludere i file di log delle transazioni di Active Directory. Il percorso di questi file è specificato nella seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path La posizione predefinita è %windir%\Ntds. In particolare, escludere i file seguenti:-
EDB*.log
-
Res*.log
-
Edb*.jrs
-
Ntds.pat
-
-
Escludere i file nella cartella di lavoro NTDS specificata nella sottochiave del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory In particolare, escludere i file seguenti:-
Temp.edb
-
Chk
-
Disattivare l'analisi dei file SYSVOL
-
Disattivare l'analisi dei file nella cartella di lavoro del servizio replica file specificata nella sottochiave del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Working Directory La posizione predefinita è %windir%\Ntfrs. Escludere i file seguenti presenti nella cartella:-
edb.chk nella cartella %windir%\Ntfrs\jet\sys
-
Ntfrs.jdb nella cartella %windir%\Ntfrs\jet
-
*.log nella cartella %windir%\Ntfrs\jet\log
-
-
Disattivare l'analisi dei file nei file di log del database di FRS specificati nella seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory La posizione predefinita è %windir%\Ntfrs. Escludere i file seguenti:-
Edb*.log (se la chiave del Registro di sistema non è impostata)
-
FRS Working Dir\Jet\Log\Edb*.jrs
-
-
NotaLe impostazioni per specifiche esclusioni di file sono documentate qui per completezza. Per impostazione predefinita, queste cartelle consentono l'accesso solo a Sistema e Amministratori. Verifica che siano applicate le protezioni corrette. Queste cartelle contengono solo file di lavoro dei componenti per FRS e DFSR.
-
Disattivare l'analisi della cartella Gestione temporanea NTFRS, come specificato nella sottochiave del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage Per impostazione predefinita, la gestione temporanea usa la posizione seguente:%systemroot%\Sysvol\Staging areas
-
Disattivare l'analisi della cartella gestione temporanea DFSR come specificato nell'attributo msDFSR-StagingPath dell'oggetto CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=DomainControllerName,OU=Domain Controllers,DC=DomainName in AD DS. Questo attributo contiene il percorso effettivo usato dalla replica DFS per eseguire il stage dei file.This attribute contains the path to the actual location that DFS replication uses to stage files. In particolare, escludere i file seguenti:
-
Ntfrs_cmp*.*
-
*.Frx
-
-
Disattiva l'analisi dei file nella cartella Sysvol\Sysvol o nella cartella SYSVOL_DFSR\Sysvol.
Il percorso corrente della cartella Sysvol\Sysvol o SYSVOL_DFSR\Sysvol e tutte le sottocartelle è la destinazione di reparse del file system della radice del set di repliche. Per impostazione predefinita, le cartelle Sysvol\Sysvol e SYSVOL_DFSR\Sysvol utilizzano i percorsi seguenti:%systemroot%\Sysvol\Domain
%systemroot%\Sysvol_DFSR\DomainIl percorso dell'oggetto SYSVOL attualmente attivo viene fatto riferimento dalla condivisione NETLOGON e può essere determinato dal nome del valore SysVol nella sottochiave seguente:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters
-
Escludere i file seguenti da questa cartella e da tutte le relative sottocartelle:
-
*.Ammiraglio
-
*.Admx
-
*.Adml
-
Registry.pol
-
Registry.tmp
-
*.Aas
-
*.Inf
-
Scripts.ini
-
*.ins
-
Oscfilter.ini
-
-
Disattivare l'analisi dei file nella cartella preinstallazione di FRS nel percorso seguente:
Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
La cartella Preinstalla è sempre aperta quando FRS è in esecuzione.
Escludere i file seguenti da questa cartella e da tutte le relative sottocartelle:-
Ntfrs*.*
-
-
Disattiva l'analisi dei file nel database DFSR e nelle cartelle di lavoro. Il percorso è specificato dalla seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path In questa sottochiave del Registro di sistema, "Path" è il percorso di un file XML che indica il nome del gruppo di replica. In questo esempio il percorso conterrà "Domain System Volume".
Il percorso predefinito è la seguente cartella nascosta:%systemdrive%\System Volume Information\DFSR
Escludere i file seguenti da questa cartella e da tutte le relative sottocartelle:-
$db_normale$
-
FileIDTable_*
-
SimilarityTable_*
-
*.xml
-
$db_dirty$
-
$db_clean$
-
$db_lost$
-
Dfsr.db
-
Fsr.chk
-
*.Frx
-
*.Registro
-
Fsr*.jrs
-
Tmp.edb
-
-
Nota Se uno di questi file o cartelle viene spostato o inserito in un percorso diverso, analizzare o escludere l'elemento equivalente.
Disattivare l'analisi dei file DFS
Le stesse risorse escluse per un set di replica SYSVOL devono essere escluse anche quando FRS o DFSR viene utilizzato per replicare le condivisioni mappate alla radice DFS e ai collegamenti in computer membri o controller di dominio basati su Windows Server 2008 R2 o windows server 2008.
Disattivare l'analisi dei file DHCP
Per impostazione predefinita, i file DHCP da escludere sono presenti nella cartella seguente sul server:
%systemroot%\System32\DHCP Escludi i file seguenti da questa cartella e da tutte le relative sottocartelle:
-
*.Mdb
-
*.Pat
-
*.Registro
-
*.Chk
-
*.edb
È possibile modificare il percorso dei file DHCP. Per determinare la posizione corrente dei file DHCP nel server, controllare i parametri DatabasePath, DhcpLogFilePath e BackupDatabasePath specificati nella seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters
Disattivare l'analisi dei file DNS
Per impostazione predefinita, il DNS usa la cartella seguente:
%systemroot%\System32\Dns Escludere i file seguenti da questa cartella e da tutte le relative sottocartelle:
-
*.Registro
-
*.Dns
-
AVVIO
Disattivare l'analisi dei file WINS
Per impostazione predefinita, WINS usa la cartella seguente:
%systemroot%\system32\wins
Escludere i file seguenti da questa cartella e da tutte le relative sottocartelle:
-
*.Chk
-
*.Registro
-
*.Mdb
Per i computer che eseguono versioni basate su Hyper-V di Windows
In alcuni scenari, in un computer basato su Windows Server 2008 con il ruolo Hyper-V installato o in un Microsoft Hyper-V Server 2008 o in un computer basato su Microsoft Hyper-V Server 2008 R2, potrebbe essere necessario configurare il componente di analisi in tempo reale all'interno del software antivirus per escludere file e intere cartelle. Per altre informazioni, vedere l'articolo seguente nella Microsoft Knowledge Base:
-
961804Le macchine virtuali non sono presenti o si verificano 0x800704C8 di errore, 0x80070037 o 0x800703E3 quando si tenta di avviare o creare una macchina virtuale
Passaggi successivi
Se le prestazioni o la stabilità del sistema sono migliorate dai suggerimenti di questo articolo, contattare il fornitore del software antivirus per istruzioni o per una versione o impostazioni aggiornate del software antivirus.
Nota Il fornitore di antivirus di terze parti può collaborare con il team supporto tecnico Microsoft con ogni sforzo commercialmente ragionevole.
Riferimenti
Contratto per il Servizio Supporto Tecnico Clienti Microsoft
Contratto per i Servizi Microsoft
Iniziativa per i virus Microsoft
Cronologia delle modifiche
La tabella seguente riepiloga alcune delle modifiche più importanti apportate a questo argomento.
Data |
Descrizione |
---|---|
17 agosto 2021 |
Aggiornata la nota nella sezione "Altre informazioni": "Nota in Windows 10, Windows Server 2016 e versioni successive..." |
2 novembre 2021 |
Aggiornata la nota nella sezione "Altre informazioni": "Questo vale anche per Windows Server 2012 R2..." |
14 marzo 2022 |
Revisione dell'intero articolo. Aggiunta di sezioni "Sintomi" e "Risoluzione" e riorganizzato il contenuto rimanente. |
14 luglio 2023 |
È stato aggiunto un terzo punto elenco nella sezione "Introduzione". Aggiunta di un'intestazione di sezione "Sintomi". È stata rimossa la sezione "Altre informazioni". |
7 agosto 2023 |
Risoluzione dei problemi di layout che correvano più righe negli elenchi di esclusioni |