Gjelder for
Windows

Gjelder for: Windows Server 2025, alle utgaver Windows Server 2022, alle utgaver Windows Server 2019, alle utgaver Windows Server 2016, alle utgaver Windows Server 2012 R2, alle utgaverWindows Server 2012, alle utgaver Windows 11, alle utgaver Windows 10, alle utgaver

Innledning

Denne artikkelen inneholder anbefalinger for å hjelpe en administrator med å finne årsaken til potensiell ustabilitet i følgende scenario:

Symptomer

Den Windows-baserte eller Windows Server-baserte datamaskinen opplever følgende problemer:

  • Systemytelse

    • Høy CPU eller økt CPU-bruk

      • Brukermodus

      • Kjernemodus

    • Kjerneminnelekkasjer

      • Ikke-sideutvalg

      • Sideutvalg

      • Håndter lekkasje

    • Langsomhet

      • Filkopi når du bruker Windows Utforsker

        • Filkopi når du bruker en konsollapp (for eksempel cmd.exe)

      • Sikkerhetskopieringsoperasjoner

  • Stabilitet

    • Treghet i programmet

      • Få tilgang til en delt nettverksressurs eller en tilordnet stasjon

      • Midlertidig mangel på svar i Windows Utforsker

    • Programfeil

      • Tilgangsbrudd

    • Programmet slutter å svare

      • Vranglåser

        • Eksternt prosedyrekall (RPC)

        • Navngitte datakanaler

      • Raseforhold

      • Minnelekkasje i private byte

      • Minnelekkasje for virtuelle byte

      • Minnefragmentering av virtuelle byte

  • Pålitelighetsproblemer i operativsystemet

    • Systemet slutter å svare (du må tvinge en omstart for å gjenopprette)

      • Vranglåser

      • Raseforhold

      • Håndter lekkasjer

      • Ikke-siders bassenglekkasjer

      • Sidede bassenglekkasjer

  • Stoppfeil (også kjent som feilkontroller)

Hvis du vil ha mer informasjon, kan du se følgende artikler:

Løsning

Følg disse trinnene før du legger til antivirusutelukkelser:

  1. Oppdater definisjonene for tredjeparts antivirusprogram. Hvis problemet vedvarer, kan du sende en falsk positiv (FP) til tredjeparts antivirusleverandørstøtte.

  2. Kontroller at du ikke har angitt en bestemt funksjonalitet i en herdet eller aggressiv modus som forårsaker flere av følgende symptomer:

    • Falske positiver

    • Programkompatibilitetsproblemer

    • Økt ressursbruk (for eksempel høy CPU-bruk (brukermodus eller kjernemodus) eller høy minnebruk (brukermodus eller kjernemodus)

    • Forsinkelser

    • Programmer slutter å svare

    • Programfeil

    • System som ikke svarer

  3. Oppdater versjonen av tredjeparts antivirusprogram. Hvis du vil teste, kan du se Hvordan deaktivere kjernemodusfilterdriveren midlertidig i Windows

  4. Samarbeid med tredjepartsleverandøren for antivirus for å feilsøke ytterligere. Du må kanskje ha følgende type avanserte data tilgjengelig for å bidra til å begrense problemet:

Løsning

ViktigDenne artikkelen inneholder informasjon som viser hvordan du bidrar til å redusere sikkerhetsinnstillingene eller hvordan du deaktiverer sikkerhetsfunksjoner midlertidig på en datamaskin. Du kan gjøre disse endringene for å forstå innholdet i et bestemt problem. Før du gjør disse endringene, anbefaler vi at du evaluerer risikoene som er knyttet til å implementere denne midlertidige løsningen i det bestemte miljøet. Hvis du implementerer denne midlertidige løsningen, må du utføre eventuelle nødvendige ytterligere trinn for å beskytte datamaskinen.

Advarsel

  • Vi anbefaler ikke denne midlertidige løsningen. Vi leverer imidlertid denne informasjonen slik at du kan implementere denne midlertidige løsningen etter eget skjønn. Bruk denne midlertidige løsningen på eget ansvar.

  • Denne midlertidige løsningen kan gjøre en datamaskin eller et nettverk mer sårbart for angrep fra ondsinnede brukere eller skadelig programvare, for eksempel virus. 

  • Vi anbefaler at du bruker disse innstillingene midlertidig for å evaluere systemvirkemåten.

  • Vi er klar over risikoen for å ekskludere bestemte filer eller mapper som er nevnt i denne artikkelen, fra skanninger som er gjort av antivirusprogramvaren. Systemet blir tryggere hvis du ikke utelater filer eller mapper fra skanninger.

  • Når du skanner disse filene, kan det oppstå pålitelighetsproblemer med ytelsen og operativsystemet på grunn av fillåsing.

  • Ikke utelat noen av disse filene basert på filtypen. Ikke utelat for eksempel alle filer som har filtypen DIT. Microsoft har ingen kontroll over andre filer som kan bruke de samme filtypene som filene som er beskrevet i denne artikkelen.

  • Denne artikkelen inneholder både filnavn og mapper som kan utelates. Alle filene og mappene som er beskrevet i denne artikkelen, er beskyttet av standardtillatelser for å tillate bare SYSTEM- og administratortilgang, og de inneholder bare operativsystemkomponenter. Det kan være enklere å utelate en hel mappe, men det kan hende at du ikke gir så mye beskyttelse som å utelate bestemte filer basert på filnavn.

  • Å legge til antivirusutelukkelser bør alltid være siste utvei hvis det ikke er mulig å gjøre noe annet. 

Deaktivere skanning av Windows Update- eller automatiske oppdateringsfiler

  • Deaktiver skanning av databasefilen Windows Update eller Automatisk oppdatering (Datastore.edb). Denne filen er plassert i følgende mappe:

         %windir%\SoftwareDistribution\Datastore

  • Deaktiver skanning av loggfilene som er plassert i følgende mappe:

         %windir%\SoftwareDistribution\Datastore\Logs Ekskluder følgende filer:

    • Edb*.jrs

    • Edb.chk

    • Tmp.edb

  • Jokertegnet (*) angir at det kan være flere filer.

Deaktivere skanning av Windows Sikkerhet filer

  • Legg til følgende filer i %windir%\Security\Database-banen for utelatelseslisten:

    • *.edb

    • *.Sdb

    • *.logg

    • *.chk

    • *.jrs

    • *.xml

    • *.csv

    • *.cmtx

    Obs!   Hvis disse filene ikke utelates, kan antivirusprogramvaren hindre riktig tilgang til disse filene, og sikkerhetsdatabaser kan bli skadet. Skanning av disse filene kan hindre at filene brukes, eller det kan hindre at en sikkerhetspolicy brukes på filene. Disse filene bør ikke skannes fordi antivirusprogrammer kanskje ikke behandler dem som rettighetsbeskyttede databasefiler på riktig måte.Dette er de anbefalte utelukkelsene. Det kan være andre filtyper som ikke er inkludert i denne artikkelen, som bør utelates.

Deaktivere skanning av gruppepolicy-relaterte filer

  • gruppepolicy brukerregisterinformasjon. Disse filene er plassert i følgende mappe:

         Datamaskin: %allusersprofile%\      Brukere: %ProgramData%\Microsoft\GroupPolicy\Users\<User Sid>\ Ekskluder følgende fil:

         NTUser.pol

  • gruppepolicy klientinnstillingerfiler. Disse filene er plassert i følgende mappe:

         %SystemRoot%\System32\GroupPolicy\Machine\      %SystemRoot%\System32\GroupPolicy\User\ Ekskluder følgende filer:

         Registry.pol      Registry.tmp

Slå av skanning av brukerprofilfiler

  • Brukerregisterinformasjon og støttefiler. Filene er plassert i følgende mappe:      %userprofile%\ Ekskluder følgende filer:      NTUser.dat*

Kjører antivirusprogramvare på domenekontrollere

Fordi domenekontrollere tilbyr en viktig tjeneste til klienter, må risikoen for forstyrrelse av aktivitetene deres fra skadelig kode, skadelig programvare eller fra et virus minimeres. Antivirusprogramvare er den allment aksepterte måten å redusere risikoen for infeksjon på. Installer og konfigurer antivirusprogramvare slik at risikoen for domenekontrolleren reduseres så mye som mulig, og ytelsen påvirkes så lite som mulig. Listen nedenfor inneholder anbefalinger for å hjelpe deg med å konfigurere og installere antivirusprogramvare på en Windows Server domenekontroller.Advarsel Vi anbefaler at du bruker følgende angitte konfigurasjon på et testsystem for å sikre at denne konfigurasjonen i ditt spesifikke miljø ikke introduserer uventede faktorer eller kompromitterer stabiliteten til systemet. Risikoen ved for mye skanning er at filene er upassende flagget som endret. Dette fører til for mye replikering i Active Directory. Hvis testing bekrefter at replikering ikke påvirkes av følgende anbefalinger, kan du bruke antivirusprogramvaren på produksjonsmiljøet.Notat Spesifikke anbefalinger fra leverandører av antivirusprogramvare kan erstatte anbefalingene i denne artikkelen.

  • Antivirusprogramvaren må være installert på alle domenekontrollere i virksomheten. Ideelt sett bør du prøve å installere slik programvare på alle andre server- og klientsystemer som må samhandle med domenekontrollerne. Det er optimalt å fange opp skadelig programvare tidligst, for eksempel i brannmuren eller på klientsystemet der skadelig programvare introduseres. Dette hindrer at den skadelige programvaren noensinne når infrastruktursystemene som klientene er avhengige av.

  • Bruk en versjon av antivirusprogramvaren som er utformet for å fungere med Active Directory-domenekontrollere, og som bruker de riktige API-ene (Application Programming Interfaces) til å få tilgang til filer på serveren. Eldre versjoner av programvare for de fleste leverandører endrer metadataene til en fil på en upassende måte når filen skannes.

  • Ikke bruk en domenekontroller til å surfe på Internett eller utføre andre aktiviteter som kan introdusere skadelig kode.

  • Vi anbefaler at du minimerer arbeidsbelastningene på domenekontrollere. Når det er mulig, bør du for eksempel unngå å bruke domenekontrollere i en filserverrolle. Denne praksisen reduserer virusskanningsaktivitet på fildelinger og minimerer ytelseskostnader.

  • Ikke plasser Active Directory og loggfiler på komprimerte volumer i NTFS-filsystemet.

Deaktivere skanning av Active Directory- og Active Directory-relaterte filer

  • Utelat hoveddatabasefilene for NTDS. Plasseringen av disse filene er angitt i følgende registerundernøkkel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File Standardplasseringen er %windir%\Ntds. Ekskluder følgende filer:

    • Ntds.dit

    • Ntds.pat

  • Utelat Active Directory-transaksjonsloggfilene. Plasseringen av disse filene er angitt i følgende registerundernøkkel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path Standardplasseringen er %windir%\Ntds. Ekskluder følgende filer:

    • EDB*.log

    • Res*.log

    • Edb*.jrs

    • Ntds.pat

  • Utelat filene i NTDS-arbeidsmappen som er angitt i følgende registerundernøkkel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory Ekskluder følgende filer:

    • Temp.edb

    • Edb.chk

Deaktiver skanning av SYSVOL-filer

  • Deaktiver skanning av filer i Sysvol\Sysvol-mappen eller SYSVOL_DFSR\Sysvol-mappen.Gjeldende plassering av Sysvol\Sysvol- eller SYSVOL_DFSR\Sysvol-mappen og alle undermappene er målet for arkivsystemets reanalysering av replikasettroten. Mappene Sysvol\Sysvol og SYSVOL_DFSR\Sysvol bruker følgende plasseringer som standard:

    %systemroot%\Sysvol\Domain %systemroot%\Sysvol_DFSR\Domain

    Banen til den gjeldende aktive SYSVOL refereres av NETLOGON-delingen og kan bestemmes av SysVol-verdinavnet i følgende undernøkkel:

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

  • Utelat følgende filer fra denne mappen og alle undermappene:

    • *.Adm

    • *.admx

    • *.adml

    • Registry.pol

    • Registry.tmp

    • *.Aas

    • *.Inf

    • Scripts.ini

    • *.Ins

    • Oscfilter.ini

  • Deaktiver skanning av filer i DFSR-databasen og arbeidsmapper. Plasseringen er angitt i følgende registerundernøkkel:

    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path I denne registerundernøkkelen er Bane banen til en XML-fil som inneholder navnet på replikeringsgruppen. I dette eksemplet vil banen inneholde «Domenesystemvolum». Standardplasseringen er følgende skjulte mappe:

         %systemdrive%\System Volume Information\DFSR Utelat følgende filer fra denne mappen og alle undermappene:

    • $db_normal$

    • FileIDTable_*

    • SimilarityTable_*

    • *.xml

    • $db_dirty$

    • $db_clean$

    • $db_lost$

    • Dfsr.db

    • Fsr.chk

    • *.frx

    • *.logg

    • Fsr*.jrs

    • Tmp.edb

    Obs!   Hvis en av disse mappene eller filene flyttes eller plasseres på en annen plassering, kan du skanne eller utelate det tilsvarende elementet.

Deaktivere skanning av DFS-filer

De samme ressursene som er utelatt for et SYSVOL-replikasett, må også utelates hvis DFSR brukes til å replikere delinger som er tilordnet DFS-rot- og koblingsmålene på Windows Server medlemsdatamaskiner eller domenekontrollere.

Deaktivere skanning av DHCP-filer

DHCP-filer som skal utelates, finnes som standard i følgende mappe på serveren:

     %systemroot%\System32\DHCP

Utelat følgende filer fra denne mappen og alle undermappene:

  • *.mdb

  • *.klapp

  • *.logg

  • *.chk

  • *.edb

Plasseringen av DHCP-filer kan endres. Hvis du vil finne gjeldende plassering for DHCP-filene på serveren, merker du av for parameterne DatabasePath, DhcpLogFilePath og BackupDatabasePath som er angitt i følgende registerundernøkkel:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Deaktivere skanning av DNS-filer

DNS bruker følgende mappe som standard:

%systemroot%\System32\Dns Utelat følgende filer fra denne mappen og alle undermappene:

  • *.logg

  • *.Dns

  • STØVEL

Deaktiver skanning av WINS-filer

SOM standard bruker WINS følgende mappe:

     %systemroot%\System32\Wins

Utelat følgende filer fra denne mappen og alle undermappene:

  • *.chk

  • *.logg

  • *.mdb

For datamaskiner som kjører Hyper-V-baserte versjoner av Windows

I noen tilfeller kan det være nødvendig å konfigurere skannekomponenten i sanntid i antivirusprogramvaren for å utelate filer og hele mapper på Windows Server datamaskiner som har hyper-V-rollen installert. Hvis du vil ha mer informasjon, kan du se følgende Knowledge Base-artikkel:

  • 961804Virtuelle maskiner mangler, eller feil 0x800704C8, 0x80070037 eller 0x800703E3 oppstår når du prøver å starte eller opprette en virtuell maskin

Neste trinn

Hvis systemytelsen eller stabiliteten er forbedret av anbefalingene som er gjort i denne artikkelen, kan du kontakte leverandøren av antivirusprogramvaren for instruksjoner eller for en oppdatert versjon av eller innstillinger for antivirusprogramvaren.

Obs!   Tredjeparts leverandøren av antivirusprogrammet kan samarbeide med Microsofts kundestøtteteam om en kommersielt rimelig innsats.

Referanser

Microsofts tjenesteavtale

Avtale for Microsoft-tjenester

Microsoft Virus Initiative

Endringslogg

 Tabellen nedenfor oppsummerer de viktigste endringene i dette emnet.

Dato

Beskrivelse

17. august 2021 kl.

Oppdaterte notatet i delen Mer informasjon: «Obs! Windows 10, Windows Server 2016 og nyere...» 

2. november 2021 kl.

Oppdaterte notatet i delen Mer informasjon: «Dette gjelder også for Windows Server 2012 R2 ...»

14. mars 2022 kl.

Revidert hele artikkelen. La til inndelingene Symptomer og Oppløsning, og omorganiserte det gjenværende innholdet.

14. juli 2023 kl.

La til et tredje punktelement i «Innføring»-delen. La til en inndelingsoverskrift for Symptomer. Fjernet inndelingen Mer informasjon.

7. august 2023 kl.

Løste oppsettsproblemer som kjørte flere linjer sammen i utelatelseslistene.

22. mai 2025 kl.

Fjernet Windows Server 2008 og Windows 7 fra «Gjelder for», og slettet alt relatert innhold. Lagt Windows Server 2025 til «Gjelder for». Oppdaterte kryssreferansekoblinger. 
Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter