適用於:
Windows Server 2022,所有版本 Windows Server 2019,所有版本 Windows Server 2016,所有版本 Windows Server 2012 R2,所有版本 Windows Server 2012,所有版本 Windows Server 2008 R2 SP1,所有版本 Windows 11,所有版本 Windows 10,所有版本 Windows 8.1,所有版本 Windows 7,所有版本簡介
本文包含的建議可幫助管理員,在下列情況中判斷造成不穩定的可能原因:
-
如<適用於>一節所列,執行 Windows 或 Windows Server 版本的電腦上都會發生此問題時。
-
在 Active Directory 網域環境或受管理的公司環境中,同時使用本機系統與防毒軟體時。
-
如果您正在使用 Microsoft Defender 防毒軟體,本文中提及的部分或所有建議排除項目可能會內建或由自動排除項目提供。 如需詳細資訊,請參閱下列文章:
徵兆
您的 Windows 或 Windows Server 電腦遇到下列問題:
-
系統效能
-
高 CPU 或增加 CPU 使用率
-
使用者模式
-
核心模式
-
-
核心記憶體流失
-
非分頁集區
-
分頁集區
-
控制代碼流失
-
-
速度緩慢
-
使用 Windows 檔案總管複製檔案時
-
使用控制台應用程式 (例如 cmd.exe) 複製檔案時
-
-
備份作業
-
-
-
穩定性
-
應用程式速度緩慢
-
存取網絡共用或對應磁碟機
-
Windows 檔案總管暫時沒有回應
-
-
應用程式失敗
-
存取違規
-
-
應用程式停止回應
-
鎖死
-
遠端程序呼叫 (RPC)
-
具名管道
-
-
競爭條件
-
私用位元組記憶體流失
-
虛擬位元組記憶體流失
-
虛擬位元組記憶體分散
-
-
-
作業系統可靠性問題
-
系統停止回應 (您必須強制重新開機才能復原)
-
鎖死
-
競爭條件
-
控制代碼流失
-
非分頁集區流失
-
分頁集區流失
-
-
-
停止錯誤 (也稱為錯誤 (Bug) 檢查)
如需詳細資訊,請參閱下列文章:
解決方案
在新增要排除的防毒軟體之前,請依照下列步驟執行:
-
更新第三方防毒軟體程式的定義。 如果問題仍然存在,請向第三方防毒軟體廠商支援服務提交誤判 (fp)。
-
確認您並未將特定功能設定為強化或加強模式,導致更常出現下列徵狀:
-
誤判
-
應用程式相容性問題
-
增加資源使用量 (例如,高 CPU 使用 (使用者模式或核心模式) 或高記憶體使用 (使用者模式或核心模式))
-
變慢
-
應用程式停止回應
-
應用程式失敗
-
系統無回應
-
-
更新第三方防毒軟體程式的版本。 或者,若要進行測試,請參閱 如何在 Windows 中暫時停用核心模式篩選驅動程式
-
與您的第三方防毒軟體廠商合作,進一步進行疑難排解。 您可能必須使用下列進階資料類型,幫助縮小問題的範圍:
因應措施
重要本文所含的資訊說明如何降低安全性設定,或暫時關閉電腦上的安全性功能。 您可以進行這些變更,以了解特定問題的性質。 在進行這些變更之前,建議您先評估在特定環境中實作此因應措施的相關風險。 如果您決定使用此因應措施,請採用任何其他的適當步驟,以協助保護電腦。
警告
-
不建議您採用這項因應措施。 不過,我們還是會提供這項資訊,讓您自行判斷,選擇是否執行這項因應措施。 請自行承擔使用這個因應措施的風險。
-
這個因應措施可能會使電腦或網路更容易遭受惡意使用者或惡意軟體 (例如病毒) 的攻擊。
-
建議您暫時套用這些設定,以評估系統行為。
-
我們知道如果讓您的防毒軟體排除掃描本文提及的特定檔案或資料夾會遭受的風險。 如果您不排除掃描任何檔案或資料夾,系統可能會更安全。
-
當您掃描這些檔案時,可能會因為鎖定而發生效能及作業系統可靠性問題。
-
請勿根據副檔名排除其中任何一個檔案。 例如,請勿排除副檔名為 .dit 的所有檔案。 Microsoft 對於使用與本文所述相同副檔名的其他檔案,沒有控制權。
-
本文提供可排除的檔案名稱和資料夾。 本文所述的所有檔案和資料夾受到預設權限的保護,只允許 SYSTEM 和系統管理員存取,並且只包含作業系統元件。 排除整個資料夾可能比較簡單,但所提供的保護性可能不如根據檔案名稱來排除特定的檔案。
-
只有在完全沒有其他可行的選項時,才可以新增要排除的防毒軟體。
關閉對 Windows Update 或自動更新檔案的掃描
-
關閉 Windows Update 或自動更新資料庫檔案 (Datastore.edb) 的掃描。 這個檔案位於下列資料夾:
%windir%\SoftwareDistribution\Datastore
-
關閉對位於下列資料夾之記錄檔的掃描:
%windir%\SoftwareDistribution\Datastore\Logs
具體而言,請排除下列檔案:-
Edb*.jrs
-
Edb.chk
-
Tmp.edb
-
-
萬用字元 (*) 表示可能有數個檔案。
關閉對 Windows 安全性檔案的掃描
-
在位於 %windir%\Security\Database 路徑的排除清單新增下列檔案:
-
*.edb
-
*.sdb
-
*.log
-
*.chk
-
*.jrs
-
*.xml
-
*.csv
-
*.cmtx
附註: 如果未排除這些檔案,防毒軟體可能會讓具有適當存取權的使用者無法取用這些檔案,並且安全性資料庫可能發生損毀。 掃描這些檔案會使檔案無法獲得運用,或者可能使安全性原則無法套用到檔案。 這些檔案不應進行掃描,因為防毒軟體可能無法正確地將檔案視為專屬資料庫檔案。
這些是建議的排除項目。 有些應排除的檔案類型可能未包含在本文內。 -
關閉對「群組原則」相關檔案的掃描
-
「群組原則」使用者登錄資訊。 這些檔案位於下列資料夾:
%allusersprofile%\
具體而言,請排除下列檔案:NTUser.pol
-
「群組原則」用戶端設定檔案。 這些檔案位於下列資料夾:
%SystemRoot%\System32\GroupPolicy\Machine\
%SystemRoot%\System32\GroupPolicy\User\ 具體而言,請排除下列檔案:Registry.pol
Registry.tmp
附註: 群組原則排除項目僅適用於 Windows Server。 如果您使用的是 Microsoft Defender 防毒軟體,群組原則排除項目會包含在自動伺服器角色排除項目中。
關閉對使用者設定檔的檔案掃描
-
使用者登錄資訊和支援檔案。 檔案位於下列資料夾中:
userprofile%\ 具體而言,請排除下列檔案: NTUser.dat*
對網域控制站執行防毒軟體
由於網域控制站會為用戶端提供重要服務,因此,必須使控制站內的活動因惡意程式碼、惡意軟體或病毒而受到中斷的風險降到最低。 防毒軟體是減輕感染風險的一般採用方法。 請安裝並設定防毒軟體,盡可能降低網域控制站的風險,讓效能盡量不受到影響。 下列清單中的建議可以協助您在 Windows Server 網域控制站上設定及安裝防毒軟體。
警告 建議您將下列指定的設定套用至測試系統,以確保在您的特定環境中,不會引入非預期的因素或破壞系統的穩定性。 因太多掃描所產生的風險是,系統將檔案錯誤地標幟為已變更。 這會導致 Active Directory 中出現太多複寫。 如果測試結果確認複寫不受下列建議的影響,您可以將防毒軟體套用至實際執行環境。 請注意防毒軟體廠商的特定建議可能會取代本文中的建議。-
防毒軟體必須安裝在企業中所有的網域控制站上。 最理想的情況是,嘗試在所有其他必須與網域控制站進行互動的伺服器和用戶端系統上安裝這類軟體。 最好是能在第一時間抓到惡意程式碼,例如在防火牆或在引入惡意程式碼的用戶端系統。 如此,可防止惡意程式碼進入用戶端所依賴的基礎結構系統。
-
使用設計用於 Active Directory 網域控制站,且採用正確「應用程式發展介面」(API) 來存取伺服器上檔案的防毒軟體版本。 大多數的廠商舊版軟體會在掃描檔案時,不當地變更檔案的中繼資料。 這會導致檔案複寫服務引擎辨識檔案變更,因而排程檔案進行複寫。 新版本會防止這個問題。
如需詳細資訊,請參閱「Microsoft 知識庫」中的下列文章:815263與檔案複寫服務相容的防毒、備份和磁碟最佳化程式
-
請勿使用網域控制站來瀏覽網際網路,或者執行任何其他可能會引入惡意程式碼的活動。
-
建議您將網域控制站的工作負載減到最少。 可能的話,請避免以檔案伺服器角色使用網域控制站。 這會減少檔案共用上的病毒掃描活動,並且使效能額外負荷減到最少。
-
請勿將 Active Directory 或 FRS 資料庫和記錄檔放在 NTFS 檔案系統壓縮磁碟區上。
關閉對 Active Directory 和 Active Directory 相關檔案的掃描
-
排除主要 NTDS 資料庫檔案。 這些檔案的位置是在下列登錄子機碼中指定的:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Database File
預設位置為 %windir%\Ntds。 特別是,請排除下列檔案:-
Ntds.dit
-
Ntds.pat
-
-
排除 Active Directory 交易記錄檔。 這些檔案的位置是在下列登錄子機碼中指定的:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path
預設位置為 %windir%\Ntds。 特別是,請排除下列檔案:-
EDB*.log
-
Res*.log
-
Edb*.jrs
-
Ntds.pat
-
-
排除由下列登錄子機碼指定的 NTDS 工作資料夾中的檔案:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory
具體而言,請排除下列檔案:-
Temp.edb
-
Edb.chk
-
關閉對 SYSVOL 檔案的掃描
-
關閉對由下列登錄子機碼指定、位於「檔案複寫服務」(FRS) 工作資料夾中檔案的掃描:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Working Directory
預設位置為 %windir%\Ntfrs。 排除資料夾中的下列檔案:-
%windir%\Ntfrs\jet\sys 資料夾中的 edb.chk
-
%windir%\Ntfrs\jet 資料夾中的 Ntfrs.jdb
-
%windir%\Ntfrs\jet\log 資料夾中的 *.log
-
-
關閉對下列登錄子機碼指定的 FRS 資料庫記錄檔中檔案的掃描:
HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\Ntfrs\Parameters\DB Log File Directory
預設位置為 %windir%\Ntfrs。 請排除下列檔案:-
Edb*.log (如果未設定登錄機碼)
-
FRS Working Dir\Jet\Log\Edb*.jrs
-
-
附註為完整起見,在此列出特定檔案排除設定。 根據預設,這些資料夾僅允許 System 和系統管理員存取。 請確認正確的保護措施已生效。 這些資料夾只包含 FRS 和 DFSR 的元件工作檔案。
-
關閉對下列登錄子機碼指定之 NTFRS 暫存資料夾的掃描:
HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
根據預設,分段使用下列位置:%systemroot%\Sysvol\Staging areas
-
關閉對 AD DS 中物件 CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=DomainControllerName,OU=Domain Controllers,DC=DomainName 之 msDFSR-StagingPath 屬性所指定 DFSR 暫存資料夾的掃描。 這個屬性包含 DFS 複寫用於暫存檔案之實際位置的路徑。 特別是,請排除下列檔案:
-
Ntfrs_cmp*.*
-
*.frx
-
-
關閉對位於 Sysvol\Sysvol 資料夾或 SYSVOL_DFSR\Sysvol 資料夾中檔案的掃描。
Sysvol\Sysvol 或 SYSVOL_DFSR\Sysvol 資料夾以及其所有子資料夾的目前位置是,複本集根目錄的檔案系統重新分析目標。 Sysvol\Sysvol 和 SYSVOL_DFSR\Sysvol 資料夾預設會使用下列位置:%systemroot%\Sysvol\Domain
%systemroot%\Sysvol_DFSR\Domain可至目前作用中 SYSVOL 的路徑是由 NETLOGON 共用所參考,並可以由下列子機碼中的SysVol 值名稱來決定:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters
-
排除下列來自這個資料夾及其所有子資料夾中的檔案:
-
*.adm
-
*.admx
-
*.adml
-
Registry.pol
-
Registry.tmp
-
*.aas
-
*.inf
-
Scripts.ini
-
*.ins
-
Oscfilter.ini
-
-
關閉下列位置中 FRS 預先安裝資料夾的檔案掃描:
Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory
當 FRS 正在執行時,Preinstall 資料夾一定會開啟。 排除此資料夾及其所有子資料夾中的下列檔案:-
Ntfrs*.*
-
-
關閉對位於 DFSR 資料庫和工作資料夾中檔案的掃描。 位置是由下列登錄子機碼所指定:
HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path
在這個登錄子機碼中,「Path」是 XML 檔案的路徑,表示 Replication Group 的名稱。 在此範例中,路徑會包含 "Domain System Volume"。 預設位置為下列隱藏資料夾:%systemdrive%\System Volume Information\DFSR
排除此資料夾及其所有子資料夾中的下列檔案:-
$db_normal$
-
FileIDTable_*
-
SimilarityTable_*
-
*.xml
-
$db_dirty$
-
$db_clean$
-
$db_lost$
-
Dfsr.db
-
Fsr.chk
-
*.frx
-
*.log
-
Fsr*.jrs
-
Tmp.edb
-
-
附註: 如果上述任何一個資料夾或檔案已移動或放入其他位置,請掃描或排除同等項目。
關閉對 DFS 檔案的掃描
當使用 FRS 或 DFSR 來複寫對應至 Windows Server 2008 R2 或 Windows Server 2008 成員電腦或網域控制站上 DFS 根目錄和連結目標的共用時,也必須排除針對 SYSVOL 複寫集而排除的相同資源。
關閉對 DHCP 檔案的掃描
根據預設,應該排除的 DHCP 檔案是存在於伺服器的下列資料夾中:
%systemroot%\System32\DHCP 排除此資料夾及其所有子資料夾中的下列檔案:
-
*.mdb
-
*.pat
-
*.log
-
*.chk
-
*.edb
DHCP 檔案的位置可以變更。 若要判斷伺服器上 DHCP 檔案的目前位置,請檢查由下列登錄子機碼指定的 DatabasePath、DhcpLogFilePath 和 BackupDatabasePath 參數:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters
關閉對 DNS 檔案的掃描
根據預設,DNS 使用下列資料夾:
%systemroot%\System32\Dns 排除此資料夾及其所有子資料夾中的下列檔案:
-
*.log
-
*.dns
-
BOOT
關閉對 WINS 檔案的掃描
根據預設,WINS 使用下列資料夾:
%systemroot%\System32\Wins
排除此資料夾及其所有子資料夾中的下列檔案:-
*.chk
-
*.log
-
*.mdb
對於執行 Windows Hyper-V 版本的電腦
在某些情況下,安裝了 Hyper-V 角色的 Windows Server 2008 電腦,或是 Microsoft Hyper-V Server 2008 或 Microsoft Hyper-V Server 2008 R2 電腦,可能必須在防毒軟體內設定即時掃描元件才能排除檔案和整個資料夾。 如需詳細資訊,請參閱「Microsoft 知識庫」中的下列文章:
-
961804 當您嘗試啟動或建立虛擬機器時,虛擬機器遺失或出現錯誤 0x800704C8、0x80070037 或 0x800703E3 (部分機器翻譯)
後續步驟
如果您按照本文提及的建議操作而系統效能或穩定性有所提升,請連絡您的防毒軟體廠商獲取指示,或取得防毒軟體的更新版本或設定。
附註: 您的第三方防毒軟體廠商將能在商業上盡合理的努力,與 Microsoft 客戶服務與支援中心 (CSS) 團隊合作。
參考
變更歷程記錄
下表摘要說明本主題的一些最重要變更。
日期 |
描述 |
---|---|
2021 年 8 月 17 日 |
已更新「其他相關資訊」一節中的注意事項:「注意 在 Windows 10、Windows Server 2016 和更新版本...」 |
2021 年 11 月 2 日 |
已更新「更多資訊」一節中的注意內容:「這也適用於 Windows Server 2012 R2...」 |
2022 年 3 月 14 日 |
修訂整篇文章。 增加了<徵狀>與<解決方案>小節,並重新安排其餘的內容。 |
2023 年 7 月 14 日 |
在「簡介」章節中新增了第三個項目符號項目。 已新增「症狀」章節標題。 已移除「其他資訊」章節。 |
2023 年 8 月 7 日 |
已修正在排除項目清單中將數行合併一起的版面配置問題 |