Антивирус Касперский и контроллер домена Active Directory

01.02.2023   Active directory, GPO, CA   2 комментария

Обновлено 01.02.2023

DC logoДобрый день!Уважаемые читатели и гости IT блога Pyatilistnik.org. В прошлый раз мы с вами разбирали житейскую проблему, когда ваш Ipad показывал вам ошибку 4013, 2009 или 5 при попытке обновиться или загрузиться. Сегодня я вернусь снова к теме, о Active Directory. За 2022 год большое количество компаний подверглось вредоносным атакам, поэтому пренебрежения по установке и внедрению антивирусного решения быть не должно. В моей компании очень давно используется отечественное решение от Касперского. Я вам хочу показать настройки, которые помогут вам подружить ваше антивирусное решение и ваши контроллеры домена, чтобы у тех и у других была плодотворная работа.

Возможные проблемы контроллеров домена при наличии антивируса Касперского

В тестовой среде мы стали проводить настройки политик на сервере KES. Первое на что мы нацелили свое внимание, это конечно же Active Directory, которую держат контроллеры домена, сердце большинства корпоративных сетей. Все тесты проводили на Kaspersky Endpoint Security 11.11, но они будут актуальны и для последующих версий. После установки антивируса на контроллер домена, который пока каждые три дня стали появляться проблемы с доступом к нему по сети и RDP, а так же у нас с ним прекращались реплики.

В логах на контроллере домена были выявлены вот такие ошибки:

Ошибка ID 1126: Active Directory Domain Services was unable to establish a connection with the global catalog.

Additional Data
Error value:
0 The operation completed successfully.
Internal ID:
3201111

User Action:
Make sure a global catalog is available in the forest, and is reachable from this domain controller. You may use the nltest utility to diagnose this problem.

Active Directory Domain Services was unable to establish a connection with the global catalog

Ошибка ID 1039: Internal event: Active Directory Domain Services could not process the following object.

Object:
CN=Exchange_Forwarding,OU=Distribution, OU=Groups,DC=Pyatilistnik,DC=org

User Action
Increase physical memory or virtual memory. If this error continues to occur, restart the local computer.

Additional Data
Error value:
8446
Internal ID:
20d0730

Internal event Active Directory Domain Services could not process the following object

Ошибка ID 1084: Internal event: Active Directory Domain Services could not update the following object with changes received from the following source directory service. This is because an error occurred during the application of the changes to Active Directory Domain Services on the directory service.

Object:
CN=N-20,OU=Remote computers,OU=Computers,OU=industry,DC=root,DC=Pyatilistnik,DC=org
Object GUID:
135bb6c8-0000-0000-0000-8257b5b4b33e
Source directory service:
16aaed31-aaca-0000-0000-92ce772cc5e8._msdcs.Pyatilistnik.org

Synchronization of the directory service with the source directory service is blocked until this update problem is corrected.

This operation will be tried again at the next scheduled replication.

User Action
Restart the local computer if this condition appears to be related to low system resources (for example, low physical or virtual memory).

Additional Data
Error value:
8446 The replication operation failed to allocate memory.

8446 The replication operation failed to allocate memory

Ошибка ID 492: NTDS (792) NTDSA: The logfile sequence in "C:\Windows\NTDS\" has been halted due to a fatal error. No further updates are possible for the databases that use this logfile sequence. Please correct the problem and restart or restore from backup.

Ошибка ID 492

Ошибка ID 418: NTDS (792) NTDSA: Error -1011 (0xfffffc0d) occurred while opening a newly-created logfile C:\Windows\NTDS\edb.log.

Ошибка ID 418

Ошибка ID 413: NTDS (792) NTDSA: Unable to create a new logfile because the database cannot write to the log drive. The drive may be read-only, out of disk space, misconfigured, or corrupted. Error -1011.

Ошибка ID 413

Ошибка ID 2108: This event contains REPAIR PROCEDURES for the 1084 event which has previously been logged. This message indicates a specific issue with the consistency of the Active Directory Domain Services database on this replication destination. A database error occurred while applying replicated changes to the following object. The database had unexpected contents, preventing the change from being made.

REPAIR PROCEDURES for the 1084

Если в этот момент попытаться проверить репликацию с другого контроллера домена с помощью утилиты Repadmin, то я получал ошибку "The RPC server is too busy to complete this operation".

The RPC server is too busy to complete this operation

Настройка антивируса Касперского для контроллеров домена

Проблема антивирусов, что они могут очень сильно загружать ресурсы проверяемой системы, могут из-за слишком интенсивной проверки поломать сервис и так далее. Для того чтобы найти компромисс различные разработчики систем и вендоры имеют рекомендации, что нужно внести в исключения, чтобы антивирусное решение не тратило на это время и сервис продолжал корректно работать.

В случае с Microsoft и контроллерами домена я могу выделить:

  • ✅ Отключение сканирования связанных Windows или автоматического обновления. Отключение сканирования файла Windows или автоматического обновления базы данных

%windir%\SoftwareDistribution\Datastore\*.edb

  • ✅ Отключение сканирования файлов журнала

%windir%\SoftwareDistribution\Datastore\Logs Specifically\Edb*.jrs
%windir%\SoftwareDistribution\Datastore\Logs Specifically\Edb.chk
%windir%\SoftwareDistribution\Datastore\Logs Specifically\Tmp.edb

  • ✅ Отключение сканирования Безопасность Windows файлов

%windir%\Security\Database\*.edb
%windir%\Security\Database\*.sdb
%windir%\Security\Database\*.log
%windir%\Security\Database\*.chk
%windir%\Security\Database\*.jrs
%windir%\Security\Database\*.xml
%windir%\Security\Database\*.csv
%windir%\Security\Database\*.cmtx

  • ✅ Отключение сканирования файлов, связанных с групповой политикой. Сведения о реестре пользователей групповой политики

%allusersprofile%\NTUser.pol

  • ✅ Файлы параметров клиента групповой политики

%SystemRoot%\System32\GroupPolicy\Machine\Registry.pol
%SystemRoot%\System32\GroupPolicy\Machine\Registry.tmp
%SystemRoot%\System32\GroupPolicy\User\Registry.pol
%SystemRoot%\System32\GroupPolicy\User\Registry.tmp

  • ✅ Отключение сканирования файлов профилей пользователей. Сведения о реестре пользователей и вспомогательные файлы

%userprofile%\NTUser.dat*

  • ✅ Отключение сканирования файлов Active Directory и Active Directory. Исключить основные файлы базы данных NTDS

%windir%\Ntds\Ntds.dit
%windir%\Ntds\Ntds.pat

  • ✅ Исключить файлы журналов транзакций Active Directory

%windir%\Ntds\EDB*.log
%windir%\Ntds\Res*.log
%windir%\Ntds\Edb*.jrs
%windir%\Ntds\Ntds.pat

  • ✅ Исключить файлы из рабочей папки NTDS

Temp.edb
Edb.chk

  • ✅ Отключение сканирования SYSVOL-файлов. Отключение сканирования файлов в рабочей папке службы репликации файлов (FRS)

%windir%\Ntfrs\jet\sys\edb.chk
%windir%\Ntfrs\jet\Ntfrs.jdb
%windir%\Ntfrs\jet\log\*.log

  • ✅ Отключение сканирования файлов в файлах журнала баз данных FRS

%windir%\Ntfrs\Edb*.log
%windir%\Ntfrs\Log\Edb*.jrs

  • ✅ Отключение сканирования промежуточной папки NTFRS

%systemroot%\Sysvol\Staging areas\*

  • ✅ Отключение сканирования промежуточной папки DFSR. Отключение сканирования файлов в папке Sysvol\Sysvol или SYSVOL_DFSR\Sysvol

%systemroot%\Sysvol\Domain\*.adm
%systemroot%\Sysvol\Domain\*.admx
%systemroot%\Sysvol\Domain\*.adml
%systemroot%\Sysvol\Domain\Registry.pol
%systemroot%\Sysvol\Domain\Registry.tmp
%systemroot%\Sysvol\Domain\*.aas
%systemroot%\Sysvol\Domain\*.inf
%systemroot%\Sysvol\Domain\Scripts.ini
%systemroot%\Sysvol\Domain\*.ins
%systemroot%\Sysvol\Domain\Oscfilter.ini
%systemroot%\Sysvol_DFSR\Domain\*.adm
%systemroot%\Sysvol_DFSR\Domain\*.admx
%systemroot%\Sysvol_DFSR\Domain\*.adml
%systemroot%\Sysvol_DFSR\Domain\Registry.pol
%systemroot%\Sysvol_DFSR\Domain\Registry.tmp
%systemroot%\Sysvol_DFSR\Domain\*.aas
%systemroot%\Sysvol_DFSR\Domain\*.inf
%systemroot%\Sysvol_DFSR\Domain\Scripts.ini
%systemroot%\Sysvol_DFSR\Domain\*.ins
%systemroot%\Sysvol_DFSR\Domain\Oscfilter.ini

  • ✅ Отключение сканирования файлов в базе данных DFSR и рабочих папках.

%systemdrive%\System Volume Information\DFSR\FileIDTable_*
%systemdrive%\System Volume Information\DFSR\SimilarityTable_*
%systemdrive%\System Volume Information\DFSR\*.xml
%systemdrive%\System Volume Information\DFSR\Dfsr.db
%systemdrive%\System Volume Information\DFSR\Fsr.chk
%systemdrive%\System Volume Information\DFSR\*.frx
%systemdrive%\System Volume Information\DFSR\*.log
%systemdrive%\System Volume Information\DFSR\Fsr*.jrs
%systemdrive%\System Volume Information\DFSR\Tmp.edb

  • Отключение сканирования файлов DFS

C:\DFSRoots\*

  • ✅ Отключение сканирования DHCP-файлов

%systemroot%\System32\DHCP\*.mdb
%systemroot%\System32\DHCP\*.pat
%systemroot%\System32\DHCP\*.log
%systemroot%\System32\DHCP\*.chk
%systemroot%\System32\DHCP\*.edb

  • ✅ Отключение сканирования DNS-файлов

%systemroot%\System32\Dns\*.log
%systemroot%\System32\Dns\*.dns
%systemroot%\System32\Dns\downloads\*

  • ✅ Отключение сканирования файлов WINS

%systemroot%\System32\Wins\*.chk
%systemroot%\System32\Wins\*.log
%systemroot%\System32\Wins\*.mdb

Все пути до БД Active Directory и папок политик прописаны в ветках реестра, их нужно изучать если у вас нестандартные каталоги установки AD.

  1. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \NtFrs\Parameters\Working Director
  2. HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services \Ntfrs\Parameters\DB Log File Directory
  3. HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services \NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage
  4. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services \Netlogon\Parameters
  5. HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Services \DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File=Path
  6. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services \DHCPServer\Parameters

Исключения для DNS

По умолчанию DNS использует следующую папку:

%systemroot%\System32\Dns Исключить следующие файлы из этой папки и всех ее вложенных папок:

  • *.log
  • *.dns

Данные исключения проверены на контроллерах домена на базе Windows Server 2019 и Windows Server 2022.

Настройка исключений касперского для контроллеров домена

Напоминаю, что исключения в политике будут в разделе "Общие настройки - Исключения". Тут будет пункт исключения из проверки и доверенные приложения, вот здесь вы и укажите описанные выше пути, так же если есть важный, доверенный софт, то его можно задать на соседней вкладке, например утилита миграции между доменами ADMT или утилита синхронизации с Google.

Исключения касперского для контроллеров домена

Если интересен более подробный список, то пишите в комментариях попробую выложить. С вами был Иван Сёмин, автор и создатель IT портала Pyatilistnik.org.

Дополнительные ссылки

  • https://support.microsoft.com/ru-ru/topic/%D1%80%D0%B5%D0%BA%D0%BE%D0%BC%D0%B5%D0%BD%D0%B4%D0%B0%D1%86%D0%B8%D0%B8-%D0%BF%D0%BE-%D0%BF%D1%80%D0%BE%D0%B2%D0%B5%D1%80%D0%BA%D0%B5-%D0%B2%D0%B8%D1%80%D1%83%D1%81%D0%BE%D0%B2-enterprise-%D0%BA%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80%D0%B0%D1%85-%D1%81-windows-%D0%B8%D0%BB%D0%B8-windows-server-kb822158-c067a732-f24a-9079-d240-3733e39b40bc

Популярные Похожие записи:

2 Responses to Антивирус Касперский и контроллер домена Active Directory

  1. Максим:
    06.02.2023 в 08:53

    Спасибо! Очень полезная информация! Было бы очень интересно посмотреть влияние Kaspersky Security для Windows Server 11 на контроллер домена.

  2. Павел:
    04.07.2023 в 14:23

    Спасибо!
    Было бы неплохо ознакомиться с полным списком — в KSC можно отдельно выбранные элементы в xml файл экспортировать

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *