NetWorker: O evento de verificação de bugs do sistema client do Windows causa a reinicialização do sistema durante o backup

Riepilogo: A máquina cliente Windows é reinicializada sempre que o backup do file system é iniciado. Ambiente de Custer. Ambos os nós estão com o mesmo problema.

Questo articolo si applica a Questo articolo non si applica a Questo articolo non è legato a un prodotto specifico. Non tutte le versioni del prodotto sono identificate in questo articolo.
Scopri le altre risorse

Sintomi

Um backup do file system do NetWorker de um host Windows apresenta falha. 
Não há erros óbvios indicando a causa nos logs do NetWorker:

181407:save: Step (1 of 5) for PID-10948: Save has been started on the client '<client-name>'.
174412:save: Step (2 of 5) for PID-10948: Running the backup on the client '<client-name>' for the save set 'pseudo_saveset'.
174424:save: Step (3 of 5) for PID-10948: Creating the snapshot for the selected save sets.
--- Job Indications ---
<client-name>:pseudo_saveset: retried 1 times.
184008 08/16/2023 02:30:58 AM  1 5 0 999192384 50244 0 <NetWorker-Server> savegrp NSR notice Client '<client-name>' is being skipped because no savesets of this client have been backed up as part of the backup action.
148758 08/16/2023 02:31:03 AM  1 5 0 999192384 50244 0 <NetWorker-Server> savegrp NSR notice Action backup traditional 'Backup' with job id 33079478 is exiting with status 'failed', exit code 1

No client Windows, os logs de eventos do sistema mostram que um evento de verificação de bugs ocorreu simultaneamente quando um backup é agendado. Esse evento fez com que a máquina client fosse reinicializada.
BugCheck evento no visualizador de eventos 

Isso só é exibido durante backups habilitados para VSS (Volume Shadowcopy Service, serviço de cópias de sombra de volume) (padrão). Se o client Windows estiver configurado no NetWorker com operações de salvamento VSS:*=off, o backup é bem-sucedido.

Nota: A execução de um backup do client Windows sem VSS não é aconselhável. O sistema de arquivos do host ainda está protegido; no entanto, seria impossível realizar uma recuperação bare metal (BMR) do host.

Causa

Durante a criação de snapshots do VSS, os drivers de filtro do sistema de arquivos do modo kernel de vários produtos de segurança podem se acumular (por exemplo, antivírus (AV), HIPS, DLP, criptografia de disco, EDR). Filtros simultâneos em tempo real de dois produtos AV aumentam o uso da pilha do kernel durante caminhos complexos de E/S. Isso pode esgotar a pilha e acionar uma verificação de bugs.

Nota: O tamanho da pilha do kernel é fixo; a única redução prática é reduzir a profundidade ou a complexidade simultâneas do driver durante operações de E/S de alto filtro (como a criação de snapshots VSS). Isso geralmente acontece quando o VSS toca em volumes grandes ou complexos, muitos gravadores ou ganchos pesados de varredura em tempo real. 

Risoluzione

Lista de verificação de diagnóstico (colete antes de escolher um caminho de resolução)

  1. Capturar detalhes da verificação de bugs:

O Visualizador de Eventos → o → do Sistema ID do Evento 1001 (BugCheck). Registre o código STOP e o driver com falha (por exemplo, xxx.sys), se disponível.
Coletar minidumps (%SystemRoot%\Minidump).

Nota: Entre em contato com o Suporte da Microsoft para análise do BuckCheck e do minidump. Esse artigo pode ser consultado durante a interação com o suporte da Microsoft.

 

  1. Integridade do VSS:

vssadmin list writers (procure Estável sem erros)
vssadmin list providers
Verifique o Event Viewer → Application para obter registros operacionais do VSS (IDs 8193, 12293), VolSnap (por exemplo, 25) e Defender/McAfee no momento do incidente.

Para obter mais detalhes, consulte: NetWorker: Solução de problemas de falhas de backup devido a problemas de VSS

 

  1. Inventário de pilha de driver de filtro:

fltmc (Listar os drivers de filtro do file system e a ordem)

Nota: Identificar quaisquer filtros adicionais (DLP, HIPS, criptografia, agentes de endpoint).

 

  1. Controle de reprodução: Confirme se o backup foi concluído de modo consistente com VSS:*=Off (estabelece que a falha é específica do caminho VSS).

exemplo de configurações VSS OFF

Nota: Isso só deve ser usado como uma etapa de diagnóstico. O NetWorker não recomenda backups do Windows sem VSS. Use isso somente quando não houver alternativa ou ao proteger os dados do arquivo host exclusivamente. Sem o VSS, o DISASTER_RECOVERY:\ Não é feito backup do saveset. Um backup sem VSS não seria consistente com BMR.

Resolução (em níveis — prefira o mínimo de disrupção)

Nota: As soluções descritas neste artigo não fazem parte do produto NetWorker. Eles envolvem possíveis ações no sistema operacional e nas ferramentas de segurança do host do client. Todas as alterações necessárias devem ser discutidas com o administrador do sistema e a equipe de segurança do host. Deve ser feito um acordo sobre a linha de acção mais adequada. Todas as alterações necessárias devem ser realizadas pelas equipes de sistema ou administração do local.

A. Tornar o VSS e o NetWorker "amigáveis para AV" (recomendado primeiro)

  • Exclusões de varredura em tempo real (ambos os produtos AV):
    • Processos:
      nsrexecd.exe, save.exe, savefs.exe, nsrsvc.exe (se houver) e quaisquer binários auxiliares do NetWorker em
      C:\Program Files\EMC NetWorker\nsr\bin\ (ou seu caminho de instalação).
    • Pastas:
      C:\Program Files\EMC NetWorker\ (inteiro nsr tree), temporário do NetWorker e caminhos de cache, se personalizados.
    • Artefatos do VSS:
      Excluir acesso a \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy* e locais de preparo do VSS para evitar uma inspeção profunda dos volumes de snapshot durante a criação.
  • Zagueiro: Prefira o modo Passivo quando um antivírus de terceiros gerencia a proteção em tempo real (usando a política ou a configuração do Defender). Isso mantém a visibilidade do EDR e, ao mesmo tempo, evita o conflito de acesso de filtros duplos em tempo real.
  • McAfee: Aplicar exclusões recomendadas do NetWorker/VSS; certifique-se de que as políticas HIPS ou DLP não inspecionem imagens shadow copy ou block volsnap/vssvc.

Resultado: Reduz a atividade do filtro durante as operações do VSS e diminui a pressão da pilha do kernel sem remover o AV.

B. Reduza a profundidade do driver e do filtro durante o VSS.

  • Desative temporariamente os módulos de endpoint não essenciais (HIPS, DLP, controle de dispositivo) durante as janelas de backup por política, se sua equipe de segurança aprovar.
  • Atualizar drivers ou definições de AV e atualizações cumulativas VSS/VolSnap do Windows — drivers desatualizados contribuem para ineficiências de uso da pilha.
  • Se um provedor de VSS de terceiros estiver presente, force o provedor de cópia em shadow copy de software Microsoft (impacto do teste):
    • Verificações de serviço: Garantir Volume Shadow Copy O serviço está íntegro.
    • Desative ou desembarace provedores que não sejam da Microsoft se eles forem conhecidos por conflito (em coordenação com a plataforma ou a equipe de segurança).

C. Programação e redução de carga

  • Execute backups fora do pico de atividade (E/S pesada, varreduras ou tarefas de endpoint).
  • Intercale os trabalhos para que menos clients acionem o snapshot do VSS simultaneamente se as políticas centrais causarem verificações sincronizadas.

D. Último recurso (evitar, a menos que obrigatório)

  • Escolha um produto de AV em tempo real . Se a política permitir, defina o Defender para o modo passivo/somente EDR ou desabilite totalmente em tempo real quando o McAfee for o AV principal.
    A desinstalação de um AV deve ser uma etapa final, não a recomendação padrão.

E. Solução temporária operacional (se os negócios precisarem ser substituídos)

  • Continue os backups com o VSS:*=Off temporariamente se o risco de consistência for aceitável para a carga de trabalho afetada. Documente que a consistência do aplicativo no nível do VSS (gravadores) pode ser reduzida (por exemplo, arquivos abertos). Use para conjuntos de dados não essenciais somente enquanto a correção prossegue.

Verificação

  • Depois de aplicar exclusões e otimizações de driver, execute:
    • vssadmin list writers → confirmar Stable
    • Teste um snapshot manual: wmic shadowcopy call create Volume='C:\' (monitorar eventos em busca de verificações de bugs)
    • Executar um backup do file system do NetWorker em um único volume; Depois, aumente a escala.
    • Confirme se não há verificação de bugs e que o trabalho será concluído com o VSS ativado.

Prodotti interessati

NetWorker
Proprietà dell'articolo
Numero articolo: 000218472
Tipo di articolo: Solution
Ultima modifica: 07 gen 2026
Versione:  1
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.