クラスターディスクのオンラインに失敗する事象について

Last Update: feedback 共有

本記事はマイクロソフト社員によって公開されております。

いつも弊社製品をご利用いただきまして誠にありがとうございます。日本マイクロソフトの Windows サポートチームです。

本記事では Windows Defender が動作している環境にてクラスターディスクのオンラインに失敗する事象についてご案内させていただきます。事象が発生した場合には、クラスターリソースを管理している RHS.exe を Windows Defender のプロセス除外に追加する必要があります。


[発生する事象]


クラスターディスクをオンラインにしようとすると、オンライン処理に失敗し、クラスターディスクが失敗の状態になります。その際に、以下のイベントが記録されます。

<イベント1>
ログの名前: System
ソース: Microsoft-Windows-FailoverClustering
イベント ID: 1793
タスクのカテゴリ: Physical Disk Resource
レベル: エラー
ユーザー: SYSTEM
説明:
クラスターの物理ディスク リソースをオンラインにできませんでした。

リソース名: クラスター ディスク X
デバイス番号: X
デバイス GUID: {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
エラー コード: 5
理由: SetClusteredMMCSVFlagsFailure

<イベント2>
ログの名前: System
ソース: Microsoft-Windows-FailoverClustering
イベント ID: 1069
タスクのカテゴリ: Resource Control Manager
レベル: エラー
ユーザー: SYSTEM
説明:
クラスター化された役割 ‘TEST’ の種類 ‘Physical Disk’ のクラスター リソース ‘クラスター ディスク X’ が失敗しました。エラー コード: ‘0x5’ (‘アクセスが拒否されました。’)。

リソースおよび役割のエラー ポリシーに基づいて、このノードでリソースをオンラインにする処理またはグループをクラスターの別のノードに移動した後に再起動する処理がクラスター サービスによって試行される場合があります。フェールオーバー クラスター マネージャーまたは Get-ClusterResource Windows PowerShell コマンドレットを使用して、リソースおよびグループの状態を確認してください。

[発生する原因]


クラスターディスクをオンラインにするため、クラスターディスクを管理する RHS.exe プロセスがディスクに対してフラグ処理の I/O を発行しますが、この I/O が Windows Defender によってブロックされるために発生します。

Windows Defender の詳細動作はセキュリティに関わるものになるため、明確な条件をお伝えすることが難しいですが、現状で判明している条件の一つとして、Windows Defender の機能である “コントロールされたフォルダー アクセス” を有効にしている場合に発生することが確認できています。だたし、こちらの機能を有効すると必ず発生するわけではなく、導入されているソフトなどの環境に依存いたします。


[対処策]


Windows Defender の方針としては、希望しないブロック動作が発生した場合には除外設定をするように案内しており、定期的に除外設定を見直すことが推奨事項になっています。

Title:除外を定義するための推奨事項
URL:https://docs.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/configure-exclusions-microsoft-defender-antivirus?view=o365-worldwide#recommendations-for-defining-exclusions

   一部抜粋:
    除外を定期的に確認します。 レビュー プロセスの一環として軽減策を再確認し、再適用します

そのため、対処策としては、Windows Defender 以下の両方の除外設定に RHS.exe を追加する方法になります。

1.プロセスの除外
2.フォルダーアクセス制御の除外

設定方法につきましては、以下を参照いただき、除外に指定するプロセス名には “C:\Windows\Cluster\rhs.exe” を入力ください。

▼プロセス除外
Title:プロセスによって開いたファイルの除外を構成する
URL:https://docs.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/configure-process-opened-file-exclusions-microsoft-defender-antivirus?view=o365-worldwide

▼フォルダーアクセスの制御の除外
Title:特定のアプリが管理フォルダーに変更を加えるのを許可する
URL:https://docs.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/customize-controlled-folders?view=o365-worldwide#allow-specific-apps-to-make-changes-to-controlled-folders

本投稿が少しでも皆様のお役に立てば幸いです。

※ 本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。