Antivirus-Programme möglicherweise Sicherheitsbeschreibungen ändern und verursachen eine übermäßige Replikation der FRS-Daten in SYSVOL- und DFS

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 284947 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Der Dateireplikationsdienst (FRS) ist ein Multi-Threaded, Multimaster Replikationsengine, die den Lmrepl-Dienst in 3 ersetzt. X und 4.0 Versionen von Microsoft Windows NT. Windows 2000-Domänencontroller und Server verwenden FRS zum Replizieren von Systemrichtlinien und Anmeldeskripts Anmeldeskripts, die in der das Systemvolume (SYSVOL) für Windows 2000-basierten Clients und früher befinden.

FRS kann auch Dateien und Verzeichnissen zwischen Windows 2000-basierten Servern replizieren, die die gleichen fehlertoleranten (DFS) Stamm oder die Verknüpfung Replikate gehören.

FRS initiiert die Replikation "geschlossen" Dateien im Verzeichnis Bäume in denen Replikation aktiviert wurde. Ereignisse, die Replikation auslösen können, schließen das Erstellen oder Löschen einer Datei, eine Änderung Version einer vorhandenen Datei oder das Zurücksetzen von Berechtigungen für eine Datei oder Verzeichnis. Dieser Artikel beschreibt Symptome, die auftreten, wenn einige Antivirusprogramme, die nicht DATEIREPLIKATIONSDIENST kompatibel sind Virenprüfungen auf Verzeichnisse durchführen, Host FRS-replizierten Dateien. Weitere Symptome auftreten:
  • Dateien in SYSVOL und DFS-Freigaben werden übermäßig ohne offensichtliche Änderung auf die Dateien in diesen Replikatgruppen repliziert.
  • Bei regelmäßig auftritt wenn Virenscans sind Zeitpläne zu bestimmten Zeiten oder in Zeiten niedriger Serverauslastung, oder Dateien möglicherweise zu Spitzenzeiten replizieren.
  • Die Anzahl der Dateien in dem Stagingverzeichnis zunimmt ständig, vielleicht leeren irgendwann, nachdem das Programm Virus Scan abgeschlossen ist oder nach der FRS-Zeitplan öffnen, um die Replikation zu ermöglichen.
  • Die Anzahl der Dateien in dem Stagingverzeichnis ständig wächst jedoch nie leert Wenn Änderungen an downstream-Partnern da entweder Netzwerkverbindung oder ein Unfähigkeit, die Anzahl der geänderten Dateien benötigen Replikation verarbeiten repliziert nicht möglich.
  • Netzwerkdatenverkehr zwischen Replikationspartnern belegt übermäßig viel Netzwerkbandbreite und FRS wird verantwortliche Dienst bestimmt.
Ein Programm, das bekanntermaßen Sicherheitsbeschreibungen während Virenprüfung zurücksetzen ist Norton AntiVirus (NAV), Versionen 7.0 und 7.5. Andere Überprüfung Virus-Programme, die Sicherheitsbeschreibungen während Virenprüfungen ändern führt dieselben Symptome.

Weitere Informationen

Der Dateireplikationsdienst (FRS) überwacht die NTFS-Datei System USN Erfassungen für Änderungen an Dateien und Verzeichnissen, die in den FRS-replizierten SYSVOL- und DFS-Strukturen auftreten. Einige antivirus Dienstprogramme ändern die Sicherheitsbeschreibung während Virenprüfungen. Eine Sicherheitsbeschreibung ist ein Attribut im Dateisystem von NTFS-formatierte Laufwerke, die definiert, wer und welche Art von Access-Benutzer und Gruppen auf Dateien und Verzeichnisse haben.

FRS ordnungsgemäß zeichnet die Änderung der Datei und das Verzeichnis in das NTFS USN-Journal und dann die Änderung seiner Stagingverzeichnis für die Replikation auf alle direkten und transitiven downstream-Partnern Warteschlangen. Downstream-Partnern sind die Computer in einer DFS- oder SYSVOL-Replikatsätze festgelegt, dass eingehende Verbindungsobjekte von einem Computer, der Änderungen, für senden Dateien geändert haben.

Virenprüfungen mit großen FRS-replizierten Verzeichnissen möglicherweise bei der Replikation von Hunderten von Megabyte oder sogar Gigabyte ganzen Dateien jedes Mal eine Überprüfung stattfindet. Und Anzahl von geänderten Dateien benötigen häufig die Replikation und werden, unsustainable, besonders wenn Virenprüfungen auf mehr als ein Mitglied einer Replikatgruppe SYSVOL- oder DFS durchgeführt werden.

Vertreter von Symantec Beschreiben des NAV Änderung von der Sicherheitsbeschreibung auf folgende Weise:
Während eines Scans wird NAV verschiedene Attribute der Datei (Dateiattribute, die Sicherheitsbeschreibung GetFileSecurity, letzten Zugriff Timestamp und usw.) vor der Überprüfung speichern, sodass die Datei auf seinen ursprünglichen Zustand wiederhergestellt werden kann. Einige dieser Attribute einschließlich der Sicherheitsbeschreibungen (SetFileSecurity) werden wiederhergestellt.

Aufrufen von Windows-API-SetFileSecurity Security Descriptor Trigger Replikation Wiederherstellen im Fall von FRS-Replikation. Die gleiche Wirkung kann indem gewährt einem Benutzer Datei Berechtigungen Zugriff auf eine Datei und dann sofort Entfernen des Zugriffs nach rechts auf der Registerkarte Sicherheit von Windows Explorer dupliziert werden.

Dieses Problem tritt nicht auf alle Dateien, sondern auf Container-Dateien, einschließlich solcher mit .exe, doc, PPT, XLS, ZIP-, .ARC und CAB-Erweiterungen.

Anzeigen von USN-Änderung Gründe auf FRS-replizierten Dateien

Die FRS Debug-Protokolldateien und die ausgehenden Protokolldateien der DATEIREPLIKATIONSDIENST Datenbank Datensatz Typ der Änderung, die Replikation einer Datei oder Verzeichnis initiiert. Verwenden Sie die folgende Methode, um festzustellen, ob Virus-Programme Scannen übermäßigen FRS-Replikationsverkehr in Ihrer Umgebung verursachen.

Hinweis : die Beispiele in diesem Artikel veranschaulichen, wie die Debugprotokolle ändern Grund suchen.
  1. Erhöhen Sie FRS Protokoll Ausführlichkeit und Endurance. Starten Sie hierzu den Registrierungseditor, und dann in den folgenden Registrierungsschlüssel
    HLKM\SYSTEM\CCS\Services\NTFRS\Parameters
    Legen Sie die folgenden Werte:
    • "Maximum Log Messages (REG_DWORD) debug" zu 20000 decimal (kein Komma im Registrierungseintrag)
    • "Protokolldateien (REG_DWORD) debug" zwischen 20 bis 50 (dezimal)

      Die Standardeinstellung Protokoll Ausführlichkeit für den Build 2195 von Windows 2000 und Service Pack 1 (SP1) Version von FRS ist Stufe 4. Die Standardeinstellung Protokoll Ausführlichkeit für die SP2 und SP2 ist Hotfix-Version von FRS Ebene 2. Anmeldet Zeichenfolge in das FRS-Debuggen finden Sie unter "ContentCmd", der Wert "Debug protokollieren des (REG_DWORD)", "4".
  2. Starten Sie den Dienst neu, und lassen Sie es für einen ausreichenden Zeitraum ausgeführt werden. Wenn Sie die Protokolldatei Ausführlichkeit hoch genug ist, nicht festlegen, können Sie möglicherweise auf die Zeichenfolge "UsnReason" in den Debugprotokollen um den Typ der Änderung zu suchen, die stattgefunden filtern.
  3. Geben Sie an einer Eingabeaufforderung die folgende Befehlszeile ein:
    cd/d % systemroot%\debug "
    Hinweis : mithilfe die Registerkarte Layout das Eigenschaftenblatt Befehl Fenstergröße, Breite und Höhe an Findstr Ausgabe festgelegt. Verwenden von ca. 110 Zeichen für Breite und 45 Zeichen oder mehr für die Höhe auf eine Bildschirmauflösung von 1024 X 768 zeigen.
  4. Verwenden Sie Findstr , um alle Instanzen von der Zeichenfolge "ContentCmd" in den Debug-Protokolldateien zu finden:
    c:\ > Findstr/i "ContentCmd" % systemroot%\debug\ntfrs_00??.Protokoll
    Die Art der Änderung, die auf der NTFS-Partition stattgefunden wird von der Zeichenfolge "ContentCmd" in das Debugprotokoll angezeigt. Dateien, die von antivirus-Programme geändert wurden auflisten "Sicherheit" als den Grund ändern. Ebenso Sicherheitsvorlagen, die manuell angewendet wurden oder von Gruppenrichtlinien sowie Administratoren, die in Windows Explorer Berechtigungen festlegen, auch als den Grund ändern "Sicherheit" anzeigen.

    Das folgende Beispiel veranschaulicht ein FRS Ausgabe Debuggen Protokolle, die mit dem Befehl Frsstr gefiltert:
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdDispatch:    ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdAccept:      ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
       <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
       <DbsWriteTableRecord:   S1:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
       <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
    					
  5. Wenn eine übermäßige Replikation vermutet wird, fahren Sie mit dem Abschnitt "Wiederherstellen von Excessive Replication" in diesem Artikel.

FRS ändern Gründe im FRS-Debuggen und ausgehende Protokolle

Flags, die im NTFRS-Debugprotokoll sind beschreiben Änderungen an FRS-replizierten Dateien. FRS-Replikation ist auf geschlossene Dateien auf Partitionen mit NTFS 5.0 formatiert in Verzeichnissen FRS-replizierten predicated. Die Gründe für Änderungen im FRS-replizierten Verzeichnisse in der folgenden Tabelle angezeigt werden:
   Close	- Change log close record
   Create	- File or dir was created
   Delete	- File or dir was deleted
   RenNew	- File or dir was renamed
   DatOvrWrt	- Main file data stream was overwritten
   DatExt	- Main file data stream was extended
   DatTrunc	- Main file data stream was truncated
   Info		- Basic info change (attrib, last write time, and so forth)
   Oid		- Object Id change
   StreamNam	- Alternate data stream name change
   StrmOvrWrt	- Alternate data stream was overwritten
   StrmExt	- Alternate data stream was extended
   StrmTrunc	- Alternate data stream was truncated
   EAChg	- Extended file attribute was changed
   Security	- File access permissions changes
   IndexableChg	- File change requires re-indexing.
   HLink	- Hardlink change
   CompressChg	- File compression attribute changed
   EncryptChg	- File encryption changed
   Reparse	- Reparse point changed
				

Vermeiden übermäßige Replikation durch Antivirus-Dienstprogramme

Die folgenden Schritte können Sie verhindern, dass Antivirussoftware Programme übermäßige Replikation von Verzeichnissen FRS überwacht:
  1. Schließen Sie FRS-replizierten Verzeichnisse aus überprüften von antivirus-Programme, die eine übermäßige Replikation führen.
  2. Rufen Sie die aktualisierten Versionen von NAV vermeiden Sie die Sicherheitsbeschreibung von Dateien ändern.
  3. Konfigurieren Sie die Liste der Ordner, die Ziel und durch Antivirusprogramme ausgeschlossen werden, wie im folgenden Artikel der Knowledge definiert sind:
    822158Virus scanning Empfehlungen auf einem Windows 2000 oder auf einem Windows Server 2003-Domänencontroller

Übermäßige Replikation wiederherstellen

Wenn eine übermäßige Replikation als Ergebnis einer ein Antivirenprogramm zurücksetzen Sicherheitsbeschreibungen erkannt wird, ziehen Sie folgende Aktion in Betracht:
  1. Beenden Sie den FRS-Dienst auf Mitgliedern der FRS-Replikatsätze generieren übermäßige Änderungen verhindern, dass den Rückstand erhöhen
  2. Beenden Sie alle Programme, Dienste oder administrative Prozesse, die Dateien und Verzeichnisse im FRS-replizierten Verzeichnisse ändern. Mögliche Quellen der Replikation umfassen:
    1. Microsoft Systems Management Server-Client auf Windows 2000-Domänencontrollern installiert.
    2. Sicherheitsvorlagen Dateisystemrichtlinie enthält, die manuell oder mithilfe der Gruppenrichtlinie für die Organisationseinheiten oder übergeordneten Containern, die Windows 2000-Domänencontrollern oder DFS repliziert Verzeichnisse hosten angewendet werden.
    3. Diskeeper überprüft vor FRS-replizierten Inhalten.
    4. Antivirensoftware überprüft vor FRS-replizierten Inhalten.
    5. Virus-Programme Dateien in Verzeichnissen FRS-replizierten erstellen.
  3. Identifizieren der Server, die große Rückstände von Änderungen

    Verwenden Sie die Ausgabe des Ntfrsutl sets Befehlszeilen-Dienstprogramms, die analysiert wird, mit dem CONNSTAT PERL-Skript, um downstream-Partnern anzeigen, die große Rückstände der Änderungsbefehle verfügen.
  4. Entfernen Sie oder deaktivieren Sie die Verbindungen mit downstream-Partnern.

    Der Dateireplikationsdienst erstellt Stagingdateien und speichert ändern Bestellungen in das ausgehende Protokoll für alle veränderten Dateien, die an downstream-Partnern gesendet werden müssen. Upstream-Partner Stagingdateien verwalten und Bestellungen in das ausgehende Protokoll ändern, bis alle downstream-Partnern eine bestimmte Änderung erhalten.

    Der FRS-Dienst Löscht Dateien in dem Stagingverzeichnis und seine ausgehende Protokoll, wenn die Verbindung mit dem downstream-Partner-Objekt gelöscht oder die Verbindung ist deaktiviert; "EnabledConnection" ist ein Attribut in Active Directory, SYSVOL und DFS-Verbindung-Objekten, die festgelegt werden können, = True|false und die in LDP oder ADSIEDIT festgelegt werden kann.

    Verbindungsobjekte für Active Directory und SYSVOL gelöscht ist eine einfache Aufgabe, wie Sie sind einfach identifiziert und in Active Directory-Standorte neu erstellt werden und Dienste-Snap-in.
  5. Staffeln Sie die Erstellung oder Aktivierung der Verbindungsobjekte.

Eigenschaften

Artikel-ID: 284947 - Geändert am: Freitag, 26. Oktober 2007 - Version: 6.4
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Keywords: 
kbmt kbproductlink kb3rdparty kbinfo KB284947 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 284947
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com