NetWorker:Windows 用戶端系統錯誤檢查事件導致系統在備份期間重新開機
Riepilogo: 每當啟動檔案系統備份時,Windows 用戶端機器都會重新開機。卡斯特環境。兩個節點都有相同的問題。
Questo articolo si applica a
Questo articolo non si applica a
Questo articolo non è legato a un prodotto specifico.
Non tutte le versioni del prodotto sono identificate in questo articolo.
Sintomi
Windows 主機的 NetWorker 檔案系統備份失敗。
NetWorker 記錄中沒有指出原因的明顯錯誤:
181407:save: Step (1 of 5) for PID-10948: Save has been started on the client '<client-name>'. 174412:save: Step (2 of 5) for PID-10948: Running the backup on the client '<client-name>' for the save set 'pseudo_saveset'. 174424:save: Step (3 of 5) for PID-10948: Creating the snapshot for the selected save sets. --- Job Indications --- <client-name>:pseudo_saveset: retried 1 times.
184008 08/16/2023 02:30:58 AM 1 5 0 999192384 50244 0 <NetWorker-Server> savegrp NSR notice Client '<client-name>' is being skipped because no savesets of this client have been backed up as part of the backup action. 148758 08/16/2023 02:31:03 AM 1 5 0 999192384 50244 0 <NetWorker-Server> savegrp NSR notice Action backup traditional 'Backup' with job id 33079478 is exiting with status 'failed', exit code 1
在 Windows 用戶端上,系統事件記錄會顯示在排定備份時同時發生錯誤檢查事件。該事件導致用戶端電腦重新啟動。
這僅在啟用卷影複製服務 (VSS) 的備份(預設)期間出現。如果 Windows 用戶端是在 NetWorker 中設定儲存 作業 VSS:*=off,備份成功。
注意:不建議在不使用 VSS 的情況下執行 Windows 用戶端備份。主機的文件系統仍然受到保護;但是,不可能執行主機的裸機復原 (BMR)。
Causa
在 VSS 快照創建期間,來自多個安全產品的內核模式文件系統篩選器驅動程式可以堆疊在一起(例如,防病毒 (AV)、HIPS、DLP、磁碟加密、EDR)。來自兩個AV產品的併發即時濾波器可增加複雜I/O路徑期間的內核堆疊使用率。這可能會耗盡堆疊並觸發錯誤檢查。
注意:內核堆疊大小是固定的;唯一實用的緩解方法是在高篩選器 I/O 操作(如 VSS 快照創建)期間降低同步驅動程式深度或複雜性。當 VSS 接觸大型或複雜的卷、許多寫入器或繁重的實時掃描挂鉤時,通常會出現這種情況。
Risoluzione
診斷檢查清單 (在選擇解決方案路徑前先收集)
- 擷取 BugCheck 詳細資料:
事件檢視器→系統→事件 ID 1001 (BugCheck)。記錄 STOP 代碼和驅動程式錯誤 (例如 xxx.sys) (若有)。
收集 minidumps (%SystemRoot%\Minidump)。
注意:與 Microsoft 支援部門接洽,以分析 BuckCheck 和小型傾印。在與Microsoft支援部門接洽時,您可以參考本文。
- VSS 執行狀況:
vssadmin list writers (尋找穩定且沒有錯誤)vssadmin list providers
在事件發生時檢查事件檢視器→應用程式中是否有 VSS (ID 8193、12293)、VolSnap (例如 25) 和 Defender/McAfee 作業記錄。
如需更多詳細資訊,請參閱:NetWorker:排解因 VSS 問題而導致的備份失敗
- 篩選驅動程式堆疊清查:
fltmc (列出檔案系統篩選器驅動程式和順序)
注意:識別任何其他篩選條件 (DLP、HIPS、加密、端點代理程式)。
- 重現控制:確認備份完成一致
VSS:*=Off(確定崩潰是特定於 VSS 路徑的)。
注意:這只能用作診斷步驟。NetWorker 不建議使用不含 VSS 的 Windows 備份。僅當不存在替代項或僅保護主機文件數據時,才使用此選項。如果沒有 VSS,
DISASTER_RECOVERY:\ 未備份存儲集。不含 VSS 的備份將無法與 BMR 一致。
解決方案 (分層 — 偏好最小中斷)
注意:本文概述的解決方案不在 NetWorker 產品內。它們涉及用戶端主機的操作系統和安全工具中的潛在操作。任何所需的更改都必須與主機的系統管理員和安全團隊討論。必須就最適當的行動方針達成協定。任何必要的變更都必須由網站的系統或管理團隊執行。
A. 讓 VSS 和 NetWorker 「AV 友好」(建議優先)
- 即時掃描排除項目 (均為 AV 產品):
- 程序:
nsrexecd.exe小save.exe小savefs.exe小nsrsvc.exe(若有),以及C:\Program Files\EMC NetWorker\nsr\bin\(或您的安裝路徑)。 - 資料夾:
C:\Program Files\EMC NetWorker\(整個nsr樹狀結構),NetWorker 暫時路徑和快取路徑 (若為自訂)。 - VSS 偽影:
排除存取權給\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy*和 VSS 暫存位置,以避免在創建過程中對快照卷進行深入檢查。
- 程序:
- 後衛:當第三方 AV 管理即時保護(使用策略或 Defender 配置)時,首選 被動模式 。這樣可以保持 EDR 可見性,同時避免雙重即時篩選器爭用。
- McAfee:套用 NetWorker/VSS 建議的排除項目;確保 HIPS 或 DLP 策略不檢查卷影副本或阻止
volsnap/vssvc。
結果:減少 VSS 作業期間的篩選器活動,並在不移除 AV 的情況下降低核心堆疊壓力。
B. 在 VSS 期間減少驅動程式和篩選器深度。
- 若您的安全團隊核准,請依原則在備份視窗期間暫時停用非必要端點模組 (HIPS、DLP、裝置控制)。
- 更新 AV 驅動程式或定義 以及 Windows VSS/VolSnap 累積更新:過時的驅動程式會導致堆疊使用效率低下。
- 如果存在 第三方 VSS 提供程式 ,請強制 Microsoft軟體捲影複製提供程式 (測試影響):
- 服務檢查:確保
Volume Shadow Copy服務運行狀況良好。 - 如果已知存在衝突,請禁用或解開非Microsoft供應商(與平臺或安全團隊協調)。
- 服務檢查:確保
C. 調度和負載緩解
- 在尖峰活動 (I/O、掃描或端點工作) 之外執行備份。
- 錯開作業,以便在中央策略導致同步掃描時同時觸發 VSS 快照的用戶端更少。
D. 最後手段(除非有規定,否則避免)
- 選擇一款即時 AV 產品。如果原則允許,請在 McAfee 為主要 AV 時,將 Defender 設為 被動/僅 EDR 模式或完全停用即時。
卸載 AV應該是 最後一步,而不是默認建議。
E. 業務因應措施(如果業務需要覆蓋)
- 繼續備份
VSS:*=Off暫時 將一致性風險用於受影響的工作負載。記錄 VSS 級應用程式一致性(寫入器)可能會降低(例如,打開的檔)。僅在補救進行時用於非關鍵資料集。
驗證
- 套用排除項目和驅動程式最佳化後,請執行:
vssadmin list writers→確認Stable- 測試手動快照:
wmic shadowcopy call create Volume='C:\'(監視事件以進行錯誤檢查) - 在單一磁碟區上執行 NetWorker 檔案系統備份;然後向上擴展。
- 確認 沒有錯誤檢查 ,工作會在 啟用 VSS 時完成。
Prodotti interessati
NetWorkerProprietà dell'articolo
Numero articolo: 000218472
Tipo di articolo: Solution
Ultima modifica: 07 gen 2026
Versione: 1
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.