Применяется к:

Windows Server 2022,
все выпуски Windows Server 2019
Windows Server 2016 Windows Server 2016
все выпуски Windows Server 2012 R2
, все выпуски Windows Server 2012 все
выпуски Windows Server 2008 R2 с sp1 Windows
все выпуски Windows 11
Windows 10,
все выпуски Windows 8.1 все
выпуски Windows 7, все выпуски Windows 8.1 все выпуски Windows все выпуски Windows 8.1

Введение

В этой статье содержатся рекомендации, которые помогут администратору определить причину потенциальной стабильности в следующем сценарии:

  • Проблема возникает на компьютере с версией Windows или Windows Server, которая указана в разделе "Применяется к".

  • Локализованная система используется вместе с антивирусной программой в доменной среде Active Directory или в управляемой бизнес-среде.

Проблемы

На Windows или Windows сервере могут быть проблемы, следующие:

  • Производительность системы

    • Высокий ЦП или увеличенный объем использования ЦП

      • Пользовательский режим

      • Режим ядра

    • Утечка памяти ядра

      • Неоплаченный пул

      • Пул страниц

      • Обработка утечки

    • Медлительность

      • Копирование файла при использовании Windows проводника

        • Копирование файлов при использовании приложения консоли (например, cmd.exe)

      • Операции резервного копирования

  • Стабильности

    • Замедление приложения

      • Доступ к сетевой или картографской диску

      • Windows временное отсутствие ответа в проводнике

    • Сбой приложения

      • Нарушение прав доступа

    • Приложение перестает отвечать

      • Взаимоблокировок

        • Удаленный вызов процедуры (RPC)

        • Именованые трубки

      • Условия соревнований

      • Утечка личныхбайтов памяти

      • Виртуальная утечка памяти ветвей

      • Фрагментация памяти в виртуальныхбах

  • Проблемы с надежностью операционной системы

    • Система перестает отвечать на запросы (необходимо принудительно восстановить перезапуск)

      • Взаимоблокировок

      • Условия соревнований

      • Обработка утечки

      • Утечка неоплаченного пула

      • Утечка страниц пула

  • Остановка ошибок (проверки ошибок)

Дополнительная информация

Сведения о системе

ОС и антивирусная программа

Требования к исключениям

Дополнительные сведения

В Windows 10 и более поздних версиях антивирусная программа в Microsoft Defender встроена

Для файлов операционной системы, упомянутых в следующих разделах, исключения не требуются.

Неприменимо

В Windows Server 2016 и более поздних версиях антивирусная программа в Microsoft Defender встроена

Для файлов операционной системы, упомянутых в следующих разделах, исключения не требуются.

Антивирусная программа "Защитник Windows Server 2016 в Windows Server 2016 и более поздних версиях автоматически регистрируется в определенных исключениях, определяемом вашей ролью сервера. Эти исключения не отображаются в стандартных списках исключений, которые отображаются в Безопасность Windows приложении. (См. антивирусная программа в Microsoft Defender исключения Windows Server.)

Windows Server 2012 R2 с помощью антивирусной программы "Защитник Майкрософт", установленной с помощью Microsoft Defender для конечной точки

Для файлов операционной системы, упомянутых в следующих разделах, исключения не требуются.

Неприменимо

Windows Server 2012 R2 с System Center Endpoint Protection (SCEP)

Для файлов операционной системы, упомянутых в следующих разделах, требуются исключения.

Неприменимо

Windows Server 2008 R2 с System Center Endpoint Protection (SCEP)

Для файлов операционной системы, упомянутых в следующих разделах, требуются исключения.

Неприменимо

Дополнительные сведения см. в следующей статье:

При работе с файлами по сети на сервере Windows Server 2003 или Windows Server 2000 могут возникнуть различные проблемы.

При работе с файлами, расположенными на файловом сервере, система перестает отвечать на запросы, низкая производительность файловых серверов или возникают задержки

Решение

Перед добавлением исключений антивирусной программы выполните следующие действия:

  1. Обновите определения для стороной антивирусной программы. Если проблема сохраняется, отправьте ложное срабатывайтесь (fp) в службу поддержки сторонних поставщиков антивирусных программ.

  2. Убедитесь, что вы не настроили определенные функции в закаленном или активном режиме, что приводит к следующим симптомам:

    • Ложные срабатываия

    • Проблемы совместимости приложений

    • Увеличение использования ресурсов (например, высокий ЦП (режим пользователя или ядра ядра) или высокая память (режим пользователя или ядра ядра)

    • Замедления

    • Приложения перестают отвечать

    • Сбои приложений

    • Система перестает отвечать

  3. Обновим версию стороной антивирусной программы. Кроме того, для тестирования см
    . также как временно отключить драйвер фильтра в режиме ядра в Windows

  4. Для дальнейшего устранения неполадок работайте со сторонним поставщиком антивирусных программ. Чтобы сузить проблему, вам может потребоваться иметь доступ к расширенным данным следующего типа:

Обходное решение

Важно!В этой статье содержатся сведения о том, как снизить уровень безопасности и временно отключить функции безопасности на компьютере. Вы можете внести эти изменения, чтобы понять характер конкретной проблемы. Однако перед внесением изменений рекомендуется взвесить их последствия для безопасности системы. При реализации этого метода обхода примите все необходимые дополнительные меры для защиты своей системы.

Предупреждение.

  • Это обходное решение не рекомендуется. Однако мы предоставляем эти сведения, чтобы вы могли реализовать это решение по собственному усмотрению. Применяя этот метод обхода проблемы, вы действуете на собственный риск.

  • Выполнение описанных ниже действий повышает уязвимость компьютера или сети для атак пользователей-злоумышленников или вредоносных программ, например вирусов. 

  • Мы рекомендуем временно применить эти параметры для оценки работы системы.

  • Мы знаем о риске исключения определенных файлов или папок, упомянутых в этой статье, из проверки, выполненной антивирусной программой. Ваша система будет безопасной, если вы не исключите файлы или папки из сканирования.

  • При проверке этих файлов из-за блокировки файлов могут возникать проблемы с производительностью и надежностью операционной системы.

  • Не исключаем ни один из этих файлов на основе расширения имени файла. Например, не следует исключать все файлы с расширением DIT. Корпорация Майкрософт не контролирует другие файлы, которые могут использовать те же расширения, что и файлы, описанные в этой статье.

  • В этой статье данная статья содержит имена файлов и папки, которые можно исключить. Все файлы и папки, описанные в этой статье, защищены по умолчанию разрешениями только для систем и администраторов и содержат только компоненты операционной системы. Исключение всей папки может быть проще, но не обеспечивает такой защиты, как исключение отдельных файлов на основе имен файлов.

  • Добавление исключений из антивирусной программы всегда должно быть последним, если другие варианты нецелесообразны. 

Отключение сканирования связанных Windows или автоматического обновления

  • Отключите сканирование файла Windows или автоматического обновления базы данных (Datastore.edb). Этот файл находится в следующей папке:

    %windir%\SoftwareDistribution\Datastore

  • Отключите сканирование файлов журнала, которые находятся в следующей папке:

    %windir%\SoftwareDistribution\Datastore\Logs Specifically, исключить следующие файлы:

    • Edb*.jrs

    • Edb.chk

    • Tmp.edb

  • Под вопросом (*) означает, что в файле может быть несколько файлов.

Отключение сканирования Безопасность Windows файлов

  • Добавьте следующие файлы в путь %windir%\Security\Database списка исключений:

    • *.edb

    • *.sdb

    • *.log

    • *.chk

    • *.jrs

    • *.xml

    • *.csv

    • *.cmtx

    Примечание. Если эти файлы не исключены, антивирусная программа может запретить соответствующий доступ к этим файлам, а базы данных безопасности могут быть повреждены. Сканирование этих файлов может помешать их использовать или предотвратить применение к файлам политики безопасности. Эти файлы не следует проверять, так как антивирусная программа может неправильно обрабатывать их как собственные файлы баз данных.

    Это рекомендуемые исключения. В этой статье могут быть исключены файлы других типов.

Отключение сканирования файлов, связанных с групповой политикой

  • Сведения о реестре пользователей групповой политики. Эти файлы находятся в следующей папке:

    %allusersprofile%\ В частности, исключите следующий файл:

    NTUser.pol

  • Файлы параметров клиента групповой политики. Эти файлы находятся в следующей папке:

    %SystemRoot%\System32\GroupPolicy\Machine\
    %SystemRoot%\System32\GroupPolicy\User\ В частности, исключить следующие файлы:

    Registry.pol
    Registry.tmp

Отключение сканирования файлов профилей пользователей

  • Сведения о реестре пользователей и вспомогательные файлы. Файлы находятся в следующей папке:

    userprofile%\

  • В частности, исключить следующие файлы:

    NTUser.dat*

Запуск антивирусной программы на контроллерах доменов

Так как контроллеры доменов предоставляют клиентам важную службу, необходимо свести к минимуму риск нарушения их действий, связанных с вредоносным кодом, вредоносными программами или вирусами. Антивирусная программа — это общепринятый способ снизить риск заражения. Установите и настройте антивирусную программу, чтобы максимально снизить риск для контроллера домена и как можно меньше повлиять на производительность. В следующем списке содержатся рекомендации по настройке и установке антивирусной программы на контроллере Windows Server.

Предупреждение Рекомендуем применить к тестовой системе указанную ниже конфигурацию, чтобы убедиться в том, что в конкретной среде не могут быть непредвиденные факторы и не нарушить стабильность работы системы. Риск, связанный с слишком большой частью сканирования, — это недопустимое пометка файлов как измененных. Это приводит к слишком большой репликации в Active Directory. Если проверка проверяет, что репликация не влияет на следующие рекомендации, вы можете применить антивирусную программу к среде.

Примечание Рекомендации от поставщиков антивирусной программы могут оказаться не на том же, что и в этой статье.

  • Антивирусная программа должна быть установлена на всех контроллерах доменов в организации. В идеале попробуйте установить такое программное обеспечение на всех других серверных и клиентских системах, которые взаимодействуют с контроллерами доменов. На самых ранних уровнях вредоносных программ, например в брандмауэре или клиентской системе, в которой она впервые внедрена, оптимально. Это предотвращает, что вредоносная программа никогда не достигнет систем инфраструктуры, от которых зависят клиенты.

  • Используйте версию антивирусной программы, предназначенную для работы с контроллерами доменов Active Directory и использующую правильные интерфейсы программирования приложений (API) для доступа к файлам на сервере. Более старые версии программного обеспечения большинства поставщиков несоответствуют изменению метаданных файла по мере его сканирования. В результате обл. служба репликации файлов распознает изменение файла и, следовательно, запланирует репликацию файла. Более новые версии предотвращают эту проблему.
    Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

    815263Программы антивирусной программы, резервного копирования и оптимизации дисков, совместимые со службой репликации файлов

  • Не используйте контроллер домена для просмотра веб-страниц и выполнения других действий, которые могут привести к вредоносному коду.

  • Рекомендуем свести к минимуму рабочие нагрузки на контроллеры доменов. По возможности старайтесь не использовать контроллеры домена в роли файловой сервер. Это снижает активность сканирования вирусов в папках с файлами и снижает нагрузку на производительность.

  • Не помещайте файлы баз данных и журналов Active Directory или FRS в сжатые объемы файловой системы NTFS.

Отключение сканирования файлов Active Directory и Active Directory

  • Исключить основные файлы базы данных NTDS. Расположение этих файлов указано в следующем подменю реестра:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File По умолчанию задаются значения %windir%\Ntds. В частности, исключить следующие файлы:

    Ntds.dit
    Ntds.pat

  • Исключить файлы журналов транзакций Active Directory. Расположение этих файлов указано в следующем подменю реестра:


    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path   По умолчанию задаются значения %windir%\Ntds. В частности, исключить следующие файлы:

    • EDB*.log

    • Res*.log

    • Edb*.jrs

    • Ntds.pat

  • Исключить файлы из рабочей папки NTDS, указанной в следующем подменю реестра:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory В частности, исключить следующие файлы:

    • Temp.edb

    • Edb.chk

Отключение сканирования SYSVOL-файлов

  • Отключите сканирование файлов в рабочей папке службы репликации файлов (FRS), указанной в следующем подменю реестра:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Working Directory По умолчанию задается расположение %windir%\Ntfrs. Исключить из папки следующие файлы:

    • edb.chk в папке %windir%\Ntfrs\jet\sys

    • Ntfrs.jdb в папке %windir%\Ntfrs\jet

    • *.log в папке %windir%\Ntfrs\jet\log

  • Отключите сканирование файлов в файлах журнала баз данных FRS, указанных в следующем подменю реестра:

    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory По умолчанию задается расположение %windir%\Ntfrs. Исключить следующие файлы.

    Обратите Параметры, которые могут быть исключены из файлов. По умолчанию эти папки доступны только администраторам и системным администраторам. Проверьте правильность защиты. Эти папки содержат только компоненты рабочих файлов для FRS и DFSR.

    • Edb*.log (если ключ реестра не за установлен)

    • FRS Working Dir\Jet\Log\Edb*.jrs

  • Отключите сканирование промежуточной папки NTFRS, как указано в следующем подразряде реестра:

    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage По умолчанию для промежуточной настройки используется следующее расположение:

    %systemroot%\Sysvol\Staging areas

  • Отключите сканирование промежуточной папки DFSR, как указано в атрибуте msDFSR-StagingPath объекта CN=SYSVOL Subscription, CN=Domain System Volume,CN=DFSR-LocalSettings,CN=DomainControllerName,OU=Domain Controllers,DC=DomainName в AD DS. Этот атрибут содержит путь к фактическому расположению, которое репликация DFS использует для файлов стадий. В частности, исключить следующие файлы:

    • Ntfrs_cmp*.*

    • *.frx

  • Отключите сканирование файлов в папке Sysvol\Sysvol или SYSVOL_DFSR\Sysvol.

    Текущее расположение папки Sysvol\Sysvol или SYSVOL_DFSR\Sysvol и всех вложенных папок является целевой целевой частью файловой системы для корневого набора реплик. Папки Sysvol\Sysvol и SYSVOL_DFSR\Sysvol по умолчанию используют следующие папки:

    %systemroot%\Sysvol\Domain
    %systemroot%\Sysvol_DFSR\Domain

    Путь к активной службе SYSVOL ссылается на нее и определяется именем значения SysVol в следующем подмайке:

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

  • Исключите следующие файлы из этой папки и всех ее вложенных папок:

    • *.adm

    • *.admx

    • *.adml

    • Registry.pol

    • Registry.tmp

    • *.aas

    • *.inf

    • Scripts.ini

    • *.ins

    • Oscfilter.ini

  • Отключите сканирование файлов в папке предустановки FRS, которая находится в следующем расположении:

    Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory папка Предустановка всегда открыта при запуске FRS.

    Исключите следующие файлы из этой папки и всех ее вложенных папок:

    • Ntfrs*.*

  • Отключите сканирование файлов в базе данных DFSR и рабочих папках. Расположение задано следующим подменю реестра:

    HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path В подменю реестра Path — это путь К XML-файлу, в который в названии группы репликации заголовок. В этом примере путь будет содержать "Том доменной системы".

    По умолчанию папка находится в следующей скрытой папке:

    %systemdrive%\System Volume Information\DFSR Исключить следующие файлы из этой папки и всех ее вложенных папок:

    Если одна из этих папок или файлов перемещена или находится в другом расположении, сканируйте или исключить эквивалентный элемент.

    • $db_normal$

    • FileIDTable_*

    • SimilarityTable_*

    • *.xml

    • $db_dirty$

    • $db_clean$

    • $db_lost$

    • Dfsr.db

    • Fsr.chk

    • *.frx

    • *.log

    • Fsr*.jrs

    • Tmp.edb

Отключение сканирования файлов DFS

Те же ресурсы, которые исключаются для набора реплик SYSVOL, также должны быть исключены, если для репликации ресурсов, которые соединяются с корневым сервером DFS, и связывать целевые объекты на компьютерах или контроллерах доменов на базе серверов Windows Server 2008 R2 или Windows Server 2008.

Отключение сканирования DHCP-файлов

По умолчанию файлы DHCP, которые следует исключить, находятся в следующей папке на сервере:

%systemroot%\System32\DHCP Исключить следующие файлы из этой папки и всех ее вложенных папок:

  • *.mdb

  • *.pat

  • *.log

  • *.chk

  • *.edb

Расположение файлов DHCP можно изменить. Чтобы определить текущее расположение DHCP-файлов на сервере, проверьте параметры DatabasePath, DhcpLogFilePath и BackupDatabasePath , указанные в следующем подсое реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

Отключение сканирования DNS-файлов

По умолчанию DNS использует следующую папку:

%systemroot%\System32\Dns Исключить следующие файлы из этой папки и всех ее вложенных папок:

  • *.log

  • *.dns

  • ЗАГРУЗКИ

Отключение сканирования файлов WINS

По умолчанию в WINS используется следующая папка:

%systemroot%\System32\Wins
  Исключите следующие файлы из этой папки и всех ее вложенных папок:

  • *.chk

  • *.log

  • *.mdb

Для компьютеров, на которые запущены версии Windows

В некоторых случаях на компьютере на базе Windows Server 2008 с ролью Hyper-V, установленном или на сервере Microsoft Hyper-V Server 2008 или на компьютере на базе Microsoft Hyper-V Server 2008 R2, может потребоваться настроить компонент сканирования в режиме реального времени в антивирусной программе, чтобы исключить файлы и целые папки. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

  • 961804Виртуальные машины отсутствуют, или 0x800704C8, 0x80070037 или 0x800703E3 возникает при попытке запустить или создать виртуальную машину

Дальнейшие действия

Если производительность и стабильность работы системы улучшены с помощью рекомендаций, которые данной статьи, обратитесь к поставщику антивирусной программы за инструкциями или для обновления версии или параметров антивирусной программы.

Примечание.  Ваш сторонний поставщик антивирусной программы сможет работать со службой поддержки и обслуживанием клиентов Майкрософт в коммерчески обоснованных целях.

Ссылки

Соглашение об обслуживании клиентов Майкрософт

Соглашение об услугах Майкрософт

Программа майкрософт по вирусу

История изменений

 В таблице ниже общены некоторые наиболее важные изменения, внесенные в эту тему.

дата

Описание

17 августа 2021 г.

Обновлена заметка в разделе Дополнительные сведения: "Примечание Windows 10, Windows Server 2016 и более поздних версий..." 

2 ноября 2021 г.

Обновлена заметка в разделе Дополнительные сведения: "Это также относится к Windows Server 2012 R2..."

14 марта 2022 г.

Редакция всей статьи. Добавлены разделы "Симптомы" и "Разрешение", а остальное содержимое переуровнено.

Нужна дополнительная помощь?

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединение к программе предварительной оценки Майкрософт

Были ли сведения полезными?

Насколько вы удовлетворены качеством перевода?
Что повлияло на вашу оценку?

Спасибо за ваш отзыв!

×