Exécution d’un antivirus sur un serveur contrôleur de domaine

Publié le par Teruin

L’exécution d’un service antivirus sur un serveur contrôleur est nécessaire car elle permet de se prémunir d’infection potentielle. Cependant un mauvais paramétrage des services antivirus peut accroitre de façon tout à fait perceptible les phénomènes de réplication.
 
Exclusion de répertoires.
Afin de limiter les effets de bord sur le fonctionnement de l’Active Directory il est conseillé dans un premier temps d’exclure le répertoire SYSVOL. Certain antivirus auront pour conséquence de modifier certain attribut ce qui engendrera un accroissement de la réplication.
La suppression du Scan de l’antiVirus si elle nécessaire, entraine malgré tout un accroissement des risques. Pour Cela vous devez mettre en place la signature des fichiers de scripts. Cette solution permet via une solution basée sur des certificats de s’assurer de l’intégrité de scripts de connexion. Attention : Cette solution est supportée sur Windows 2000 Serveur, Windows XP, et Windows 2003 serveur.
 
Exclusion des fichiers de l’Active Directory
L’environnement ESE sous jacent au fonctionnement de l’environnement AD a besoin d’ouvrir en mode exclusif certains fichiers. Or les programmes Antivirus également. Si ces derniers procèdent avant l’Active Directory des problèmes d’accès à l’annuaire vont alors se produire. Afin d’éviter ce phénomène nous conseillons d’éviter le scan des fichiers suivants :
 
Fichiers à Exclure
Emplacement : HKLMSystemCurrentControlSetServicesNTDSParameters
Ntds.dit
DSADatabaseFile
Edb*.log, Edb*.log, Res1.log, Res2.log
DatabaseLogFilesPath
Temp.edb Edb.chk
DSA WorkingDirectory
 
Exclusion des Fichiers FRS
Les autres parties à exclure comprennent les fichiers relatifs aux bases FRS. Le mode exclusive des bases ESE peut interférer avec le scan exclusif de l’antivirus. Il est donc nécessaire d'exclure les fichiers suivants :
 

Fichiers à Exclure du Scan
Emplacement
HKLMSystemCurrentControlSetServicesNtFrsParameters
jetsysEdb.chk,
jetNtfrs.jdb and jetlog*.log
Working DirectoryFile
Log*log
DB Log File Directory
Dossiers à exclure du scan
Emplacement HKLMSystemCurrentControlSetServicesNtFrsParameters ReplicaSetsGUID
replica_root
Replica Set Root
staging_directory
Replica Set Stage
preinstall_directory
replica_rootDO_NOT_REMOVE_Ntfrs_Preinstall_Directory

Publié dans Active Directory

Commenter cet article