Dynamics CRM 環境でのウィルススキャン例外設定について

みなさん、こんにちは。

今回は先日 US の Dynamics CRM プレミアフィールドエンジニアリングチームが公開しているブログ記事を紹介します。

元記事 : Anti-virus exclusions for Microsoft Dynamics CRM

Microsoft Dynamics CRM 環境での ウィルススキャンのベストプラクティスは質問としてよくあがってきます。ウィルススキャンの設定によってはパフォーマンスが大きく影響される可能性がありますのでこちらは重要な確認ポイントとなります。また、ウィルススキャンは他アプリケーションが使うファイルをロックし、他アプリケーションからこのファイルにアクセスできなくすることがあります。Dynamics CRM は複数のサーバーにアクセスし、その環境にあるファイルを広範囲に触ることがあるので、様々な観点からウィルススキャンの例外設定を検討する必要があります。ウィルススキャンはアプリケーションサーバー、SQL Server、Active Directory サーバー、Reporting Server、そして クライアントマシンに影響を与える可能性があります。

パフォーマンスへの影響を最小限に抑えるためには以下のファイルとフォルダをウィルススキャンの例外に追加することをご検討ください。こちらの一覧は様々な御客様環境で作業をしてきた経験をもとにまとめたリストであり、ウィルススキャンに影響される可能性のあるファイルをすべて網羅しているわけではありません。なお、ファイルを例外に追加するべきか否かは環境毎に検討する必要があり、無暗にファイルを例外に追加することで意図しない問題が発生する可能性もあります。従って、こちらの一覧は御客様のIT管理ポリシーと照らし合せてご利用ください。

CRM Servers

• 以下のディレクトリは例外に追加すべきです。
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed File
  • %systemroot%\system32\inetsrv
• CRM Server ではウィルススキャンのスクリプトスキャン機能を無効にしてください。
• 以下の弊社技術情報には IIS と ウィルススキャンに関する情報が記載されています。
  • https://support.microsoft.com/kb/817442
  • https://support.microsoft.com/kb/821749

SQL Server

• SQL Server のデータファイル。これらのファイルは通常以下のような拡張子を持ちます。
  • .mdf
  • .ldf
  • .ndf
• SQL Server のバックアップファイル。これらのファイルは通常以下のような拡張子を持ちます。
  • .bak
  • .trn
• Full-Text カタログ ファイル
• Analysis Service のデータを格納するディレクトリ
• SQL Server がフェールオーバークラスタを使用している場合、以下のファイルも例外に追加すべきです。
  • Q:\ (クォーラム ドライブ)
  • C:\Windows\Cluster
• mssql.exe
• sqlagent.exe
• SQL Server とウィルススキャンに関する詳細情報については以下の弊社技術情報をご確認ください。
  • https://support.microsoft.com/kb/309422

Dynamics CRM Client

• ウィルススキャン プログラムがスクリプトスキャン機能を持っている場合、こちらを無効にすることをご検討ください。
• ウィルススキャン プログラムが特定のウェブサイトをスキャンの対象外にする機能がある場合、Dynamics CRM URL もこの例外に追加してください。McAfee を使用している場合の設定方法については以下の技術情報をご確認ください。
  • https://kc.mcafee.com/corporate/index?page=content&id=KB65382
  • https://support.microsoft.com/kb/924341
• McAfee 以外のウィルススキャン プログラムを使用している場合はCRM ウェブサイトURLを信頼済みサイトに追加し、CRM ウェブサイトを オンアクセススキャンニング の対象から外してください。詳細については使用されているウィルススキャン プログラムのマニュアルをご確認ください。

Virtual Servers

• 展開に仮想サーバーを使用している場合、仮想ハードドライブファイルを含むホストマシン上のディレクトリを例外に追加してください。
• Hyper-v を使用している場合、以下のプロセスを例外に追加してください。
  • Vmms.exe
  • Vmswp.exe
  • Vmwp.exe
• 詳細については以下の弊社技術情報をご確認ください。
  • https://support.microsoft.com/kb/961804/

Email Router

• Email Router を使用している場合、以下のファイルを例外に追加すべきです。デフォルトではこれらのファイルはC:\Program Files\Microsoft CRM Email\Service 配下にあります。
  • microsoft.crm.tools.email.management.exe
  • microsoft.crm.tools.emailagent.exe
  • microsoft.crm.tools.emailproviders.dll
  • Microsoft.Exchange.WebServices.dll
  • Microsoft.Crm.Passport.IdCrl.dll
  • Microsoft.Crm.Tools.EmailAgent.Configuration.bin
  • Microsoft.Crm.Tools.EmailAgent.xml
  • Microsoft.Crm.Tools.EmailAgent.SystemState.xml
  • トレースを取得している場合、emailagent.xml に設定した情報の出力先のファイルも例外に追加できます。

Enterprise Windows Servers (Server 2008, Server 2008 R2, Server 2003, Windows 2000, Vista XP, Windows 7)

• Windows Update もしくは自動アップデートに関連する以下のファイルを例外に追加してください。
  • %windir%\SoftwareDistribution\Datastore に格納される Windows Update/自動アップデートのデータベースファイル(Datastore.edb)
  • %windir%\SoftwareDistribution\Datastore\Logs に格納される以下のファイルを例外に追加してください。
    • Res*.log
    • Res*.jrs
    • Edb.chk
    • Tmp.edb    
• %windir%\Security\Database にある以下の Windows Security ファイルをウィルススキャンの対象から除外してください。
  • *.edb
  • *.sdb
  • *.log
  • *.chk
  • *.jrs
• Group Policy に関連する以下のファイルを例外に追加してください。
  • %allusersprofile%\ に格納されている以下のGroup Policy user registry ファイル
    • NTUser.pol
  • %Systemroot%\System32\GroupPolicy\ に格納されている以下の Group Policy client setting ファイル。
    • Registry.pol
• 上記例外設定とドメインコントローラに関する詳細については以下の弊社技術情報をご確認ください。
  • https://support.microsoft.com/kb/822158

- Dynamics CRM サポート 早川 邦彦