NetWorker: L'evento BugCheck del sistema client Windows causa il riavvio del sistema durante il backup

Riepilogo: Il computer client Windows viene riavviato ogni volta che viene avviato il backup del file system. Ambiente di Custer. Entrambi i nodi hanno lo stesso problema.

Questo articolo si applica a Questo articolo non si applica a Questo articolo non è legato a un prodotto specifico. Non tutte le versioni del prodotto sono identificate in questo articolo.
Scopri le altre risorse

Sintomi

Un backup del file system NetWorker di un host Windows ha esito negativo. 
Non sono presenti errori evidenti che indichino la causa nei registri di NetWorker:

181407:save: Step (1 of 5) for PID-10948: Save has been started on the client '<client-name>'.
174412:save: Step (2 of 5) for PID-10948: Running the backup on the client '<client-name>' for the save set 'pseudo_saveset'.
174424:save: Step (3 of 5) for PID-10948: Creating the snapshot for the selected save sets.
--- Job Indications ---
<client-name>:pseudo_saveset: retried 1 times.
184008 08/16/2023 02:30:58 AM  1 5 0 999192384 50244 0 <NetWorker-Server> savegrp NSR notice Client '<client-name>' is being skipped because no savesets of this client have been backed up as part of the backup action.
148758 08/16/2023 02:31:03 AM  1 5 0 999192384 50244 0 <NetWorker-Server> savegrp NSR notice Action backup traditional 'Backup' with job id 33079478 is exiting with status 'failed', exit code 1

Sul client Windows, i registri eventi di sistema mostrano un evento BugCheck che si è verificato simultaneamente quando è pianificato un backup. Tale evento ha causato il riavvio del computer client.
Evento BugCheck nel visualizzatore eventi 

Questo viene visualizzato solo durante i backup abilitati per il Servizio Copia Shadow del volume (VSS) (impostazione predefinita). Se il client Windows è configurato in NetWorker con operazioni di salvataggio VSS:*=off, il backup ha esito positivo.

NOTA: Non è consigliabile eseguire un backup del client Windows senza VSS. Il file system dell host è ancora protetto; tuttavia, sarebbe impossibile eseguire un ripristino bare-metal (BMR) dell host.

Causa

Durante la creazione di istantanee VSS, è possibile impilare insieme i driver di filtro del file system in modalità kernel di più prodotti di sicurezza (ad esempio, antivirus (AV), HIPS, DLP, crittografia del disco, EDR). I filtri simultanei in tempo reale di due prodotti AV aumentano l'utilizzo dello stack del kernel durante percorsi I/O complessi. Ciò può esaurire lo stack e attivare un BugCheck.

NOTA: La dimensione dello stack del kernel è fissa; l'unica attenuazione pratica consiste nel ridurre la profondità o la complessità dei driver simultanei durante le operazioni di I/O ad alto filtro (come la creazione di istantanee VSS). Ciò si verifica in genere quando VSS tocca volumi grandi o complessi, molti writer o hook di scansione in tempo reale pesanti. 

Risoluzione

Elenco di controllo di diagnostica (raccogliere prima di scegliere un percorso di risoluzione)

  1. Acquisizione dei dettagli di BugCheck:

Il Visualizzatore eventi → sistema → ID evento 1001 (BugCheck). Prendere nota del codice di arresto e del driver guasto (ad esempio, xxx.sys), se disponibili.
Raccogliere minidumps (%SystemRoot%\Minidump).

NOTA: Contattare il supporto tecnico Microsoft per l'analisi di BuckCheck e minidump. È possibile fare riferimento a questo articolo mentre si interagisce con il supporto tecnico Microsoft.

 

  1. Integrità VSS:

vssadmin list writers (cerca Stabile senza errori)
vssadmin list providers
Controllare nel Visualizzatore eventi → nell'applicazione per i registri operativi VSS (ID 8193, 12293), VolSnap (ad esempio, 25) e defender/mcafee al momento dell'incidente.

Per ulteriori informazioni, consultare: NetWorker: Risoluzione degli errori di backup dovuti a problemi VSS

 

  1. Inventario dello stack di driver filtrati:

fltmc (elenco dei driver e dell'ordine dei filtri del file system)

NOTA: Identificare eventuali filtri aggiuntivi (DLP, HIPS, crittografia, agent endpoint).

 

  1. Controllo della riproduzione: Verificare che il backup sia stato completato in modo coerente con VSS:*=Off (stabilisce che l'arresto anomalo è specifico del percorso VSS).

esempio di impostazioni VSS OFF

NOTA: Questo deve essere utilizzato solo come passaggio diagnostico. NetWorker sconsiglia i backup di Windows senza VSS. Utilizzare questa opzione solo quando non esistono alternative o quando si proteggono esclusivamente i dati dei file host. Senza VSS, il DISASTER_RECOVERY:\ Il saveset non viene sottoposto a backup. Un backup senza VSS non sarebbe coerente con il BMR.

Risoluzione (a più livelli, preferenza per un'interruzione minima)

NOTA: Le soluzioni descritte in questo articolo non sono incluse nel prodotto NetWorker. Implicano potenziali azioni all'interno del sistema operativo e degli strumenti di sicurezza dell host client. Eventuali modifiche richieste devono essere discusse con il System Administrator e il team di sicurezza dell'host. Deve essere raggiunto un accordo sulla linea d'azione più appropriata. Eventuali modifiche necessarie devono essere eseguite dai team di sistema o di amministrazione del sito.

A. Rendere VSS e NetWorker "compatibili con AV" (prima opzione consigliata)

  • Esclusioni della scansione in tempo reale (entrambi i prodotti AV):
    • Lavorazioni:
      nsrexecd.exe, save.exe, savefs.exe, nsrsvc.exe (se presente) e qualsiasi file binario dell'helper NetWorker in
      C:\Program Files\EMC NetWorker\nsr\bin\ (o il percorso di installazione).
    • Cartelle:
      C:\Program Files\EMC NetWorker\ (intero nsr tree), NetWorker temporanei e percorsi della cache se personalizzati.
    • Artefatti VSS:
      Escludi l'accesso a \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy* e posizioni di staging VSS per evitare l'ispezione approfondita dei volumi di istantanee durante la creazione.
  • Difensore: Preferire la modalità passiva quando un antivirus di terze parti gestisce la protezione in tempo reale (utilizzando la configurazione di policy o Defender). In questo modo si mantiene la visibilità EDR evitando al contempo il doppio conflitto di filtri in tempo reale.
  • McAfee: Applicare le esclusioni consigliate da NetWorker/VSS; assicurarsi che le policy HIPS o DLP non esaminino le copie shadow o blocchino volsnap/vssvc.

Risultato: Riduce l'attività del filtro durante le operazioni VSS e la pressione sullo stack del kernel senza rimuovere AV.

B. Ridurre la profondità di driver e filtro durante l'esperienza VSS.

  • Disabilitare temporaneamente i moduli endpoint non essenziali (HIPS, DLP, controllo dei dispositivi) durante le finestre di backup in base alla policy, se il team di sicurezza approva.
  • Aggiornare i driver o le definizioni AV e gli aggiornamenti cumulativi di Windows VSS/VolSnap : i driver obsoleti contribuiscono alle inefficienze di utilizzo dello stack.
  • Se è presente un provider VSS di terze parti , forzare il provider Microsoft Software Shadow Copy (impatto del test):
    • Controlli di servizio: Garantire Volume Shadow Copy Il servizio è integro.
    • Disabilitare o districare i provider non Microsoft se sono noti conflitti (in coordinamento con la piattaforma o il team di sicurezza).

C. Pianificazione e mitigazione del carico

  • Eseguire i backup al di fuori dei picchi di attività (I/O, scansioni o attività degli endpoint a uso intensivo di I/O).
  • Scaglionamento dei job in modo che un minor numero di client attivi contemporaneamente istantanee VSS se le policy centrali causano scansioni sincronizzate.

D. Ultima risorsa (da evitare, a meno che non sia obbligatorio)

  • Scegli un prodotto AV in tempo reale . Se il criterio lo consente, impostare Defender in modalità passiva/solo EDR o disabilitare completamente la modalità in tempo reale quando McAfee è l'antivirus principale.
    La disinstallazione di un antivirus dovrebbe essere un passaggio finale, non la raccomandazione predefinita.

E. Soluzione alternativa operativa (se prevalgono le esigenze aziendali)

  • Continuare i backup con VSS:*=Off temporaneamente se il rischio di coerenza è accettabile per il carico di lavoro interessato. Documentare che la coerenza delle applicazioni a livello di VSS (writer) può essere ridotta (ad esempio, file aperti). Utilizzare per dataset non critici solo durante il processo di correzione.

Verifica

  • Dopo aver applicato le esclusioni e le ottimizzazioni dei driver, eseguire:
    • vssadmin list writers → confermare Stable
    • Test di un'istantanea manuale: wmic shadowcopy call create Volume='C:\' (monitoraggio degli eventi per il controllo dei bug)
    • Eseguire un backup del file system NetWorker su un singolo volume; Quindi eseguire lo scale-up.
    • Verificare che non sia stato eseguito alcun BugCheck e che il processo venga completato con VSS abilitato.

Prodotti interessati

NetWorker
Proprietà dell'articolo
Numero articolo: 000218472
Tipo di articolo: Solution
Ultima modifica: 07 gen 2026
Versione:  1
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.