cat-hyper-v

Hyper-V und Anti-Virus Software *reloaded*

HYPER-V

Viele Unternehmungsrichtlinien besagen, dass jedes Windows System einen Anti-Viren Scanner installiert zu haben braucht. Doch wenn diese Regel ganz ohne Anpassungen bei jedem Server einfach so angewendet wird, kann dies in einem grossen Problem enden. Wie zum Beispiel bei einem Exchange Server, oder eben auch bei einem Hyper-V Host.

In einem älteren Artikel wurde zwar bereits einmal darüber berichtet, doch scheint dies noch immer eine “heisse Diskussion” zu sein, weswegen ich eine überarbeitete Version zum Thema Anti-Virus Scanner mit Hyper-V veröffentliche. Denn noch immer gilt, werden bei Hyper-V die Konfiguration der Ausschlüsse nicht entsprechend angepasst, kann es zur Situation kommen wo sich Virtual Machines nicht mehr starten lassen (Fehlercode “0x800704C8″, “0×80070037″ oder “0x800703E3″). Im schlimmsten Fall verschwindet eine Virtual Machine sogar ganz aus der Hyper-V Management Console.

Die Konfiguration des Anti-Viren Scanner

Um dies zu verhindern, müssen die Verzeichnisse und Prozesse welche durch Hyper-V genutzt werden, entsprechend vom Anti-Viren Programm ausgeschlossen werden. Dies wären folgende Verzeichnisse inklusive Unterverzeichnisse:

  • VM Config (Standard): C:\ProgramData\Microsoft\Windows\Hyper-V\*.*
  • VHDs (Standard): C:\Users\Public\Documents\Hyper-V\Virtual Hard Disks\*.*
  • VHDs bei Single Host: z.B. D:\MyVMs\*.*
  • VHDs bei Cluster: C:\ClusterStorage\*.*

Zusätzlich müssen auch die von Hyper-V genutzten Prozesse vom Echtzeitscan ausgeschlossen werden:

  • Hyper-V Virtual Machine Management: vmms.exe
  • Hyper-V Virtual Machine Worker Process: vmwp.exe

Bei Forefront Endpoint Protection (FEP), dem Anti-Viren Programm von Microsoft, kann dazu sehr einfach auf eine vordefinierte Richtlinie zurückgegriffen werden. Im XML für “Microsoft Hyper-V™ (host)” wurden die oben bezeichneten Ausschlüsse schon eingetragen.

Und was ist mit dem Failover Cluster?

Wurde Hyper-V als Failover Cluster konfiguriert, sollte zunächst sichergestellt werden dass die Anti-Viren Software “cluster-aware” und / oder ob eine spezielle Konfiguration für ein Hyper-V Cluster erforderlich ist. Da Hyper-V in einem active / active Mode betrieben wird, sollte jeder Cluster Node einzeln verwaltet und überwacht werden können. Daher wird der Anti-Viren Scanner in den meisten Fällen nicht als Cluster Resource konfiguriert werden. Allerdings müssen auch für den Cluster spezifische Ausschlüsse konfiguriert werden:

  • Cluster: C:\Windows\Cluster\*.*
  • Quorum: Q:\*.* (wenn vorhanden)

Zusätzlich sollte auch der vom Failover Cluster genutzte Prozess vom Echtzeitscan ausgeschlossen werden:

  • Cluster Server Service: clussvc.exe

Und was wenn doch…?

Wenn bereites Virtual Machines aus der Hyper-V Management Console verschwunden sein sollten? Keine Angst, die Daten der VM (*.vhd) wurde nicht gelöscht! Oftmals reicht es, wenn die Ausschlüsse im Anti-Viren Programm konfiguriert und der “Hyper-V Virtual Machine Management” Dienst (vmms) neugestartet wird.

Anders sieht dies beim Fehlercode 0x800704C8 aus, da wurde in vielen Fällen die Konfigurationsdatei der VM beschädigt. Da hilft in der Regel nur eine Wiederherstellung dieser VM von der letzten Sicherung. Oder das Anlegen einer neuen VM wo das VHD Image weiterverwendet wird. Im letzten Szenario wird aber neue Hardware installiert, das heisst dass zum Beispiel die Netzwerkkonfiguration erneut durchgeführt werden muss.

Noch etwas zum Schluss – Bei einer VM sollte immer ein Anti-Viren Scanner installiert werden. Der Scanner des Hyper-V Hosts prüft nur die Instanz der Parent Partition, nicht diese der Virtuellen Systeme.

Weitere Informationen

  • Microsoft Support KB 822158: Virus scanning recommendations for Enterprise computers that are running currently supported versions of Windows

Failover Cluster , Hyper-V

, , , , ,

About the Author

Michel Luescher ist bei Microsoft Corporation als Architect im Center of Excellence (CoE) für Modern Datacenter tätig. Als technischer Berater fokussiert er sich auf die Planung und Umsetzung von Projekten mit dem Fokus auf Microsoft Cloud Lösungen für Datacenter im Enterprise und Service Provider Umfeld. { Hyper-V + System Center + Windows Azure = Your Cloud }.

Comments (1)

Hinterlasse eine Antwort.

MAP 6.0, das Werkzeug zur Vorbereitung für eine Private Cloud Viel zum Thema “Linux” bei Server Talk