こんにちは、System Center サポート部の濱中です。
今回は、Data Protection Manager (DPM) 2007 もしくは2010 をご利用いただくにあたり、ウイルス対策ソフトをどのように設定しておくべきか、という点についてベストプラクティスをご紹介します。
ウイルス対策ソフトの何らかの動作が影響し、バックアップが失敗する、という事象の予防や切り分けについてもお役立ていただければと存じます。 今回ご案内する方法は、DPM 2007、2010のいずれに関わらず同様です。(ただし、以下の設定をご実施いただいても、ウイルス対策ソフトの影響を完全に除外可能であることは保証できません。以下にご説明する方法でも解決しない場合、ウィルス対策ソフトをアンインストール頂くか、作成元にお問合せ頂く必要がございますので、ご了承ください。)
一般的に、ウイルス対策ソフトの影響として、DPM が影響を受けるシナリオは以下がございます。
1. DPM エージェント (DPMRA.exe) のプロセスの動作を全て監視することで全ファイルへのアクセスのモニタリングが発生し、DPM のバックアップ パフォーマンスが悪化することにより、余分な I/O 負荷も発生する。
2. DPM エージェントによる、変更点を監視し、変更点のみバックアップするという動作において、保護対象側でバックアップが必要と判断したファイルを、ウイルス対策ソフトがウイルスと認識した場合に、ドライバレベルで該当ファイルへのアクセスを拒否することで、バックアップに失敗する。
3. DPM サーバー側のレプリカ ボリュームのファイルをウイルス対策ソフト が削除してしまい、保護対象側の変更点が反映出来なくなり、バックアップに失敗する。
- 「クリーンアップ」や「検疫」について
上記 2 や 3 のシナリオにつきまして、「クリーンアップ」や「検疫」といったウイルス対策ソフト固有の、ファイル削除以外の方法による安全なファイル保持方法を使用した場合には、ファイルは存在するものの、ファイルへのアクセスはブロックする、といった処理がウイルス対策ソフトのフィルタドライバ レベルで行われる場合がございます。
DPM は同期を行う際に、保護対象においてどのファイルがいつ変更されたのか、というリスト(変更 ジャーナル) を参照し、全てのファイルの変更点をバックアップしておりますが、このようなウイルス対策ソフトによる一部のファイルに対するブロックが行われた場合には、同期処理に異常が発生し、バックアップを行う事は出来ません。
同期においては、前回の同期や整合性チェック以降、保護対象においてどのような変更が発生したのかをブロック単位で監視しているため、上記 2 や 3 のシナリオが発生した場合には、レプリカボリュームと保護対象の差分の監視の結果に不整合が発生し、同期は行えず、整合性エラーが検知されることとなります。また、整合性エラー発生にともなう整合性 チェックを実施した際に、バックアップすべきファイルがウイルス対策ソフトからブロックされた場合、整合性チェックは失敗します。
- 「隔離」処理について
「隔離」処理の実装に依存いたしますが、DPM のバックアップ対象外のボリュームに対してファイルを隔離し、DPM のバックアップ対象のボリュームからは削除する場合には上記のようなバックアップの問題は起きないものと考えられます。一方で、DPM のバックアップ対象のボリュームに、隔離されたファイルが残されておりドライバ レベルでのアクセスが排他処理されてしまうケースではバックアップに失敗します。
以上の内容を踏まえた上で、以下の設定を実施して下さい。
- ウイルス対策ソフトの設定について
以下のプロセスとパスについて、ウイルス対策ソフトより除外する必要がございます。詳細な設定手順についてはウイルス対策ソフトにより様々ですので、ウイルス対策ソフトのヘルプをご確認いただくか、作成元に手順をご確認下さいますようお願いいたします。
A. DPM 関連プロセス・フォルダ のリアルタイム監視除外B. csc.exe の除外C. レプリカ の パスの除外D. ウイルスと判断されたファイルの「削除」設定
A. DPM 関連プロセス・フォルダの リアルタイム監視除外==========================================DPM サーバー、および DPM の保護対象にてウイルス対策製品を導入する場合は DPMRA.exe のリアルタイム モニタリングを無効にして、保護されたすべてのデータ ソースのレプリカに対するリアルタイム モニタリングを無効にします。
-参考資料
Article ID: 928840You receive job status failure messages in Data Protection Manager<http://support.microsoft.com/kb/928840/en-us>
DPMRA.exe のパスをご確認の上、除外して下さいますようお願いいたします。なお、既定では DPMRA.exe は以下のパスに配置されます。
<DPM サーバー上>C:\Program Files\Microsoft DPM\DPM\bin\DPMRA.exe
<保護対象上>C:\Program Files\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe
また、DPM 2010 におきましては、以下パス配下もリアルタイム監視から除外いただくことを推奨いたします。C:\Prograim Files\Microsoft DPM\DPM\XSDC:\Prograim Files\Microsoft DPM\DPM\Temp\MTA
B. csc.exe について==========================================DPM サーバーにおいて、DPM 管理コンソールの使用中にパフォーマンスが低下するといった場合に備え、C# コンパイラである csc.exeプロセスが生成するファイルを、ウイルス対策ソフトがスキャンしないよう csc.exe プロセスのリアルタイム モニタリングを無効にします。(保護対象においては当該設定は不要です。)DPMRA.exe 同様に、csc.exe のパスをご確認の上、除外して下さいますようお願いいたします。なお、既定では csc.exe は以下のパスに配置されます。
C:\Windows\Microsoft.net\Framework\v2.0.50727\csc.exe
- 参考資料
Data Protection Manager 2007 の展開計画<http://download.microsoft.com/download/7/B/5/7B570775-83A6-45F9-88AA-B81527B6EE42/DPMv2Planning.doc>-> P.66ウイルスのリアルタイム モニタリングの構成をご参考下さい。(DPM 2010 でも同様です。)
C. レプリカのパスについて==========================================保護された全てのデータソースのレプリカのパスは以下の手順で確認します。ウイルス対策ソフトで除外設定する場合は以下の手順にてパスを確認し、ご設定下さいますようお願いいたします。
レプリカのパスの確認方法------------------------------1. DPM 管理者コンソールを起動します。2. ナビゲーション バーで、[保護] をクリックします。3. 保護対象のデータソースを選択すると画面下の [詳細] の項に [レプリカのパス : クリックすると詳細が表示されます。] と表示されますので、 クリックします。
例: 以下のようにレプリカ ボリュームのパスがございます。(マウント ポイントを使用して“C:\Program Files\Microsoft DPM\DPM\Volumes\Replica\<サーバー名>\<VSS ライタ名>” 配下にマウントされております。)c:\Program Files\Microsoft DPM\DPM\Volumes\Replica\MOSSDB.contoso.local\File System\E-9af215e2-ead8-11dd-a8ea-00155dd94c04\677656bd-580b-4fa8-8dd4-0c6a046ace88\Full\
4. 表示された [レプリカのパスの詳細] ダイアログボックスに表示されたパスをウイルス スキャン ソフトの除外対象として登録します。
D. ウイルスと判断されたファイルの「削除」設定==========================================ウイルス対策ソフトウェアによりウイルスと判断されたファイルについては、削除するよう設定して下さい。
※「隔離」のような特殊な オプションが存在する場合、前述いたしましたとおり ウイルス 対策 ソフトウェア の実装によっては、問題が発生しない可能性も考えられますが、ウイルス 対策 ソフトウェア の影響によるバックアップ失敗は、ソフトウェアではなくドライバレベルで発生していることが多い為、DPM 側から調査や対策を行うことは困難です。
DPM 側からは一般的にこういったウイルス対策ソフトの影響が考えられる場合は「隔離」オプションを「削除」に変更していただく必要がございます。また、それでも現象が改善しない場合で、ウイルス対策ソフトのドライバレベルでの影響が考えられる場合には、最終的にはウイルス対策ソフトウェアをアンインストールして問題を切りわける他、方法はございませんので、予めご了承下さいますようお願いいたします。
Running Antivirus Software on the DPM Serverhttp://technet.microsoft.com/en-us/library/ff399439.aspx