NetWorker:バックアップ中にWindowsクライアント システムのBugCheckイベントが原因でシステムが再起動する

概要: ファイル システムのバックアップが開始されるたびに、Windowsクライアント マシンが再起動されます。カスター環境。両方のノードに同じ問題があります。

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

現象

WindowsホストのNetWorkerファイル システムのバックアップが失敗します。
NetWorkerログに原因を示す明らかなエラーはありません。

181407:save: Step (1 of 5) for PID-10948: Save has been started on the client '<client-name>'.
174412:save: Step (2 of 5) for PID-10948: Running the backup on the client '<client-name>' for the save set 'pseudo_saveset'.
174424:save: Step (3 of 5) for PID-10948: Creating the snapshot for the selected save sets.
--- Job Indications ---
<client-name>:pseudo_saveset: retried 1 times.
184008 08/16/2023 02:30:58 AM  1 5 0 999192384 50244 0 <NetWorker-Server> savegrp NSR notice Client '<client-name>' is being skipped because no savesets of this client have been backed up as part of the backup action.
148758 08/16/2023 02:31:03 AM  1 5 0 999192384 50244 0 <NetWorker-Server> savegrp NSR notice Action backup traditional 'Backup' with job id 33079478 is exiting with status 'failed', exit code 1

Windowsクライアントでは、バックアップがスケジュールされているときに、システム イベント ログにBugCheckイベントが同時に発生したことが示されます。このイベントにより、クライアント マシンが再起動しました。
イベント ビューアーの BugCheck イベント

これは、VSS(ボリューム シャドウ コピー サービス)が有効なバックアップ中にのみ表示されます(デフォルト)。WindowsクライアントがNetWorkerで保存操作で構成されている場合 VSS:*=offの場合、バックアップは成功します。

メモ: VSSを使用せずにWindowsクライアント バックアップを実行することはお勧めしません。ホストのファイルシステムは引き続き保護されています。ただし、ホストのベア メタル リカバリー(BMR)を実行することはできません。

原因

VSS スナップショットの作成中に、複数のセキュリティ製品のカーネル モード ファイル システム フィルター ドライバー (ウイルス対策 (AV)、HIPS、DLP、ディスク暗号化、EDR など) をスタックできます。2つのAV製品からの同時リアルタイム フィルターにより、複雑なI/Oパス中のカーネル スタックの使用率が増加します。これにより、スタックが使い果たされ、バグチェックがトリガーされる可能性があります。

メモ: カーネルのスタックサイズは固定されています。唯一の実用的な軽減策は、ハイフィルター I/O 操作 (VSS スナップショットの作成など) 中に同時にドライバーの深さを減らすか、複雑さを減らすことです。これは通常、VSSが大規模または複雑なボリューム、多数のライター、または大量のリアルタイム スキャン フックに触れる場合に発生します。 

解決方法

診断チェックリスト(解決方法を選択する前に収集)

  1. BugCheckの詳細をキャプチャします。

イベント ビューアー → システム → イベント ID 1001 (BugCheck)STOPコードを記録し、ドライバーの障害(xxx.sysなど)がある場合は記録します
収集 minidumps (%SystemRoot%\Minidump)を提供する必要があります。

メモ: Microsoftサポートと連携して、BuckCheckとminidumpの分析を行います。この記事は、Microsoft サポートとのやり取り中に参照できます。

 

  1. VSSの稼働状態:

vssadmin list writers (エラーのない安定版を探します)
vssadmin list providers
インシデント発生時のVSS(ID 8193、12293)、VolSnap(25など)、defender/mcafee操作ログについては、イベント ビューアー→アプリケーションを確認します。

詳細については、次を参照してください。NetWorker:VSSの問題によるバックアップ失敗のトラブルシューティング

 

  1. ドライバー スタック インベントリーのフィルター:

fltmc (ファイル システム フィルター ドライバーと順序を一覧表示します)

メモ: 追加のフィルター(DLP、HIPS、暗号化、エンドポイント エージェント)を特定します。

 

  1. 再現制御: バックアップが一貫して完了していることを確認します。 VSS:*=Off (クラッシュがVSSパス固有であることを確認します)。

VSS OFFの設定例

メモ: これは、診断ステップとしてのみ使用してください。NetWorkerでは、VSSを使用しないWindowsバックアップを推奨していません。代替手段が存在しない場合、またはホスト ファイル データを排他的に保護する場合にのみ使用します。VSSを使用しない場合、 DISASTER_RECOVERY:\ セーブセットはバックアップされません。VSSを使用しないバックアップはBMRの整合性がありません。

解決方法(階層化:中断を最小限に抑えることを推奨)

メモ: この記事で概説されているソリューションは、NetWorker製品内には含まれていません。これには、クライアント ホストのオペレーティング システムとセキュリティ ツール内で発生する可能性のあるアクションが含まれます。必要な変更については、ホストのシステム管理者およびセキュリティ チームと話し合う必要があります。最も適切な行動方針について合意を結ばなければなりません。必要な変更は、サイトのシステムまたは管理チームが実行する必要があります。

A. VSSとNetWorkerを「AV対応」にする(最初に推奨)

  • リアルタイム スキャンの除外 (両方の AV 製品):
    • プロセス:
      nsrexecd.exesave.exesavefs.exensrsvc.exe (存在する場合)、および以下のNetWorkerヘルパー バイナリ
      C:\Program Files\EMC NetWorker\nsr\bin\ (またはインストール パス)をクリックします。
    • フォルダー:
      C:\Program Files\EMC NetWorker\ (全体 nsr ツリー)、NetWorkerの一時パス、およびキャッシュ パス(カスタマイズされている場合)。
    • VSSアーティファクト:
      アクセスを除外する対象 \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy* およびVSSステージングの場所を使用して、作成中のスナップショット ボリュームの詳細な検査を回避します。
  • ディフェンダー: サード パーティーのAVが(ポリシーまたはDefender構成を使用して)リアルタイム保護を管理する場合は 、パッシブ モード を優先します。これにより、EDRの可視性を維持しながら、デュアルリアルタイムフィルターの競合を回避できます。
  • McAfee: NetWorker/VSS が推奨する除外事項を適用します。HIPSまたはDLPポリシーがシャドウ コピーを検査したりブロックしたりしないようにします volsnap/vssvcの詳細を確認してください。

結果:VSS動作中のフィルター アクティビティーを削減し、AVを削除することなくカーネル スタックの負荷を低減します。

B. VSS中にドライバーとフィルターの深さを減らします。

  • セキュリティ チームが承認した場合は、ポリシーによりバックアップ ウィンドウ中に不要のエンドポイント モジュール(HIPS、DLP、デバイス制御)を一時的に無効にします。
  • AV ドライバーまたは定義 、およびWindows VSS/VolSnap の累積的なアップデートのアップデート:古いドライバーは、スタックの使用の非効率性の原因となります。
  • サード パーティーのVSSプロバイダーが存在する場合は、Microsoftソフトウェア シャドウ コピー プロバイダーを強制します(テストの影響)。
    • サービスのチェック: 確保 Volume Shadow Copy サービスは正常です。
    • 競合することがわかっている場合は、Microsoft 以外のプロバイダーを無効にするか、もつれを解除します (プラットフォームまたはセキュリティ チームと連携して)。

C. スケジューリングと負荷の軽減

  • ピーク アクティビティ(大量のI/O、スキャン、またはエンドポイント タスク)以外の時間帯にバックアップを実行します。
  • 一元的なポリシーによって同期スキャンが発生する場合は、VSSスナップショットを同時にトリガーするクライアントの数が減るようにジョブをずらします。

D. 最後の手段(必須でない限り避けてください)

  • リアルタイム AV 製品を 1 つ選択してください 。ポリシーで許可されている場合、McAfeeがプライマリーAVの場合は、Defenderを パッシブ/EDR専用 モードに設定するか、リアルタイムを完全に無効にします。
    AVのアンインストールは、デフォルトの推奨事項ではなく、最後のステップです。

E. 運用上の回避策 (ビジネス ニーズの上書きが必要な場合)

  • を使用してバックアップを続行します。 VSS:*=Off 影響を受けるワークロードに対して整合性リスクを許容できる場合に一時的に対応します。VSSレベルのアプリケーションの整合性(ライター)が低下する可能性があることを文書化します(開いているファイルなど)。修復が進行している間のみ、重要でないデータセットに使用します。

確認

  • 除外とドライバーの最適化を適用した後、次のコマンドを実行します。
    • vssadmin list writers →確認 Stable
    • 手動スナップショットのテスト: wmic shadowcopy call create Volume='C:\' (バグチェックのイベントの監視)
    • NetWorkerファイル システムのバックアップを1つのボリュームで実行する。その後、スケールアップします。
    • BugCheckがないことを確認し、VSSを有効にしてジョブを完了します。

対象製品

NetWorker
文書のプロパティ
文書番号: 000218472
文書の種類: Solution
最終更新: 19 5月 2026
バージョン:  2
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。