DPM で保護を実施する際のウィルス対策ソフトの設定について

  • Article

 こんにちは、System Center サポート部の濱中です。

今回は、Data Protection Manager (DPM) 2007、2010、2012 及び、2012 R2 をご利用いただくにあたり、ウイルス対策ソフトウェアをどのように設定しておくべきか、という点についてベストプラクティスをご紹介します。

ウイルス対策ソフトウェアの何らかの動作が影響し、バックアップが失敗する、という事象の予防や切り分けについてもお役立ていただければと存じます。 今回ご案内する方法は、DPM のバージョンに関わらず同様です。
(ただし、以下の設定をご実施いただいても、ウイルス対策ソフトウェアの影響を完全に除外可能であることは保証できません。以下にご説明する方法でも解決しない場合、ウィルス対策ソフトウェアをアンインストール頂くか、作成元にお問合せ頂く必要がございますので、ご了承ください。)

 

一般的に、ウイルス対策ソフトウェアの影響として、DPM が影響を受けるシナリオは以下がございます。

1. DPM エージェント (DPMRA.exe) のプロセスの動作を全て監視することで全ファイルへのアクセスのモニタリングが発生し、DPM のバックアップ パフォーマンスが悪化することにより、余分な I/O 負荷も発生する。

2. DPM エージェントによる、変更点を監視し、変更点のみバックアップするという動作において、保護対象側でバックアップが必要と判断したファイルを、ウイルス対策ソフトウェアがウイルスと認識した場合に、ドライバレベルで該当ファイルへのアクセスを拒否することで、バックアップに失敗する。

3. DPM サーバー側のレプリカ ボリュームのファイルをウイルス対策ソフトウェアが削除してしまい、保護対象側の変更点が反映出来なくなり、バックアップに失敗する。

 

- 「クリーンアップ」や「検疫」について

上記 2 や 3 のシナリオにつきまして、「クリーンアップ」や「検疫」といったウイルス対策ソフト固有の、ファイル削除以外の方法による安全なファイル保持方法を使用した場合には、ファイルは存在するものの、ファイルへのアクセスはブロックする、といった処理がウイルス対策ソフトウェアのフィルタドライバ レベルで行われる場合がございます。

DPM は同期を行う際に、保護対象においてどのファイルがいつ変更されたのか、というリスト(変更 ジャーナル) を参照し、全てのファイルの変更点をバックアップしておりますが、このようなウイルス対策ソフトウェアによる一部のファイルに対するブロックが行われた場合には、同期処理に異常が発生し、バックアップを行う事は出来ません。

同期においては、前回の同期や整合性チェック以降、保護対象においてどのような変更が発生したのかをブロック単位で監視しているため、上記 2 や 3 のシナリオが発生した場合には、レプリカボリュームと保護対象の差分の監視の結果に不整合が発生し、同期は行えず、整合性エラーが検知されることとなります。
また、整合性エラー発生にともなう整合性 チェックを実施した際に、バックアップすべきファイルがウイルス対策ソフトからブロックされた場合、整合性チェックは失敗します。

 

- 「隔離」処理について

「隔離」処理の実装に依存いたしますが、DPM のバックアップ対象外のボリュームに対してファイルを隔離し、DPM のバックアップ対象のボリュームからは削除する場合には上記のようなバックアップの問題は起きないものと考えられます。
一方で、DPM のバックアップ対象のボリュームに、隔離されたファイルが残されておりドライバ レベルでのアクセスが排他処理されてしまうケースではバックアップに失敗します。

 

以上の内容を踏まえた上で、以下の設定を実施して下さい。

 

- ウイルス対策ソフトウェアの設定について

以下のプロセスとパスについて、ウイルス対策ソフトウェアより除外する必要がございます。
詳細な設定手順についてはウイルス対策ソフトにより様々ですので、ウイルス対策ソフトウェアのヘルプをご確認いただくか、作成元に手順をご確認下さいますようお願いいたします。 

A. DPM 関連プロセス・フォルダ のリアルタイム監視除外
B. csc.exe の除外
C. レプリカ の パスの除外
D. ウイルスと判断されたファイルの「削除」設定 

※ 2014 5/14 追記:
このブログ上で "<DPM のインストール パス>" と記載されているパスは、バージョンやインストール方法によって異なります。既定では以下の通りです。

DPM 2007:       C:\Program Files\Microsoft DPM\
DPM 2010:       C:\Program Files\Microsoft DPM\
DPM 2012:       C:\Program Files\Microsoft System Center 2012\DPM\
DPM 2012 R2: C:\Program Files\Microsoft System Center 2012 R2\DPM\

 

A. DPM 関連プロセス・フォルダの リアルタイム監視除外
==========================================
DPM サーバー、および DPM の保護対象にてウイルス対策ソフトウェアを導入する場合は DPMRA.exe のリアルタイム モニタリングを無効にし、また、保護されたすべてのデータ ソースのレプリカに対するリアルタイム モニタリングを無効にします。 レプリカのパスは 後述の "C. レプリカのパスについて" をご参照ください。

-参考資料

Article ID: 928840
You receive job status failure messages in Data Protection Manager
<https://support.microsoft.com/kb/928840/en-us>

DPMRA.exe のパスをご確認の上、除外して下さいますようお願いいたします。
なお、既定では DPMRA.exe は以下のパスに配置されます。 

- DPM サーバー上
<DPM のインストール パス>\DPM\bin\DPMRA.exe

- 保護対象サーバー上
C:\Program Files\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe 

また、DPM 2010 以降のバージョン (DPM 2010 / 2012 / 2012 R2) におきましては、以下のパス配下もリアルタイム監視から除外いただくことを推奨いたします。
※ なお以下は、DPM サーバーおよび保護対象サーバー上の両方にて設定を行ってください。 

<DPM のインストール パス>\DPM\XSD
<DPM のインストール パス>\DPM\Temp\MTA

 

B. csc.exe について
==========================================
DPM サーバーにおいて、DPM 管理コンソールの使用中にパフォーマンスが低下するといった場合に備え、C# コンパイラである csc.exeプロセスが生成するファイルを、ウイルス対策ソフトウェアがスキャンしないよう csc.exe プロセスのリアルタイム モニタリングを無効にします。(保護対象においては当該設定は不要です。)
DPMRA.exe 同様に、csc.exe のパスをご確認の上、除外して下さいますようお願いいたします。なお、既定では csc.exe は以下のパスに配置されます。

C:\Windows\Microsoft.net\Framework\v2.0.50727\csc.exe 

- 参考資料

Data Protection Manager 2007 の展開計画
<https://download.microsoft.com/download/7/B/5/7B570775-83A6-45F9-88AA-B81527B6EE42/DPMv2Planning.doc>
-> P.66ウイルスのリアルタイム モニタリングの構成をご参考下さい。(DPM 2010 でも同様です。) 

 

C. レプリカのパスについて
==========================================
保護された全てのデータソースのレプリカのパスは以下の手順で確認します。
ウイルス対策ソフトウェアで除外設定する場合は以下の手順にてパスを確認し、ご設定下さいますようお願いいたします。 

レプリカのパスの確認方法
------------------------------
1. DPM 管理者コンソールを起動します。
2. ナビゲーション バーで、[保護] をクリックします。
3. 保護対象のデータソースを選択すると画面下の [詳細] の項に [レプリカのパス : クリックすると詳細が表示されます。] と表示されますので、  クリックします。 

例: 以下のようにレプリカ ボリュームのパスがございます。(マウント ポイントを使用して“<DPM のインストール パス>\DPM\Volumes\Replica\" 配下にマウントされております。)
c:\Program Files\Microsoft DPM\DPM\Volumes\Replica\MOSSDB.contoso.local\File System\E-9af215e2-ead8-11dd-a8ea-00155dd94c04\677656bd-580b-4fa8-8dd4-0c6a046ace88\Full\ 

4. 表示された [レプリカのパスの詳細] ダイアログボックスに表示されたパスをウイルス対策ソフトウェアのリアルタイム モニタリング除外対象として登録します。

 

D. ウイルスと判断されたファイルの「削除」設定
==========================================
ウイルス対策ソフトウェアによりウイルスと判断されたファイルについては、削除するよう設定して下さい。

※「隔離」のような特殊な オプションが存在する場合、前述いたしましたとおり ウイルス 対策 ソフトウェア の実装によっては、問題が発生しない可能性も考えられますが、ウイルス 対策 ソフトウェア の影響によるバックアップ失敗は、ソフトウェアではなくドライバレベルで発生していることが多い為、DPM 側から調査や対策を行うことは困難です。

DPM 側からは一般的にこういったウイルス対策ソフトの影響が考えられる場合は「隔離」オプションを「削除」に変更していただく必要がございます。
また、それでも現象が改善しない場合で、ウイルス対策ソフトのドライバレベルでの影響が考えられる場合には、最終的にはウイルス対策ソフトウェアをアンインストールして問題を切りわける他、方法はございませんので、予めご了承下さいますようお願いいたします。 

Running Antivirus Software on the DPM Server
https://technet.microsoft.com/en-us/library/ff399439.aspx