Programas antivirus pueden modificar los descriptores de seguridad y provocar replicación excesiva de datos de FRS en SYSVOL y DFS

Seleccione idioma Seleccione idioma
Id. de artículo: 284947 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

El servicio de replicación de archivos (FRS) es un motor de replicación multiproceso con múltiples maestros que reemplaza al servicio Lmrepl en 3. x y 4.0 versiones de Microsoft controladores de dominio de Microsoft Windows 2000 de Windows NT. y servidores utilizan FRS para replicar directivas del sistema y inicio de sesión secuencias de comandos que residen en el volumen del sistema (SYSVOL) para clientes basados en Windows 2000 y versiones anteriores.

FRS también puede replicar archivos y directorios entre servidores basados en Windows 2000 que son miembros de las mismas tolerancia a errores del sistema de archivos distribuido (DFS) raíz o vínculo réplicas.

FRS inicia la replicación de archivos "cerrado" en árboles de directorio en el que se ha habilitado la replicación. Eventos que pueden desencadenar la replicación son la creación o eliminación de un archivo, un cambio de versión a un archivo existente o el restablecimiento de permisos en un archivo o directorio. Este artículo describe los síntomas que se producen cuando algunos programas antivirus que no son compatibles con FRS realizan detecciones de virus en los directorios que los archivos replicados de FRS de host. Síntomas adicionales incluyen:
  • Los archivos en recursos compartidos SYSVOL y DFS se replican excesivamente sin ningún cambio aparente a los archivos en los conjuntos de réplicas.
  • Pueden replicar archivos en horas, o en regularmente veces se produzca si detectores de virus están programadas para producirse en momentos concretos, o durante períodos de utilización del servidor bajo.
  • El número de archivos del directorio de ensayo constantemente crece, quizás vaciar en algún momento después de que el programa de detección de virus completa o después de la programación de FRS se abre para permitir la replicación.
  • El número de archivos del directorio de ensayo constantemente crece pero nunca se vacía si no pueden replicarse los cambios en los asociados indirectos debido de conectividad de red o la incapacidad de procesar el número de archivos modificados que necesitan replicación.
  • El tráfico de red entre los asociados de replicación consume demasiado ancho de banda y FRS se determina que el servicio responsable.
Un programa que se sabe que restablece los descriptores de seguridad durante la detección de virus es Norton AntiVirus (NAV) versiones 7.0 y 7.5. Otros programas de comprobación de virus que modificar los descriptores de seguridad durante la detección de virus dará como resultado los mismos síntomas.

Más información

El servicio de replicación de archivos (FRS) supervisa los diarios de USN de sistema de archivo NTFS los cambios de archivos y directorios que se producen en árboles replicados de FRS SYSVOL y DFS. Algunas utilidades antivirus modificar el descriptor de seguridad durante la detección de virus. Un descriptor de seguridad es un atributo de archivo de sistema de unidades con formato NTFS que define quién y qué tipo de acceso a los usuarios y grupos tienen a archivos y directorios.

FRS registra correctamente la modificación del archivo y el directorio en el diario NTFS USN y colas, a continuación, el cambio en su directorio de ensayo para replicación en todos los asociados indirectos directas y transitivas. Los asociados indirectos son los equipos en un DFS o conjunto de réplicas SYSVOL que han modificado objetos de conexión entrante desde un equipo que está enviando los cambios archivos.

Detección de virus con grandes directorios replicados de FRS puede producir la replicación de cientos de megabytes o incluso la pena de gigabytes de archivos cada vez que realiza un análisis. El número y la velocidad de los archivos modificados que necesitan a menudo la replicación se convierten en unsustainable, especialmente cuando detecciones de virus están teniendo lugar en más de un miembro de un conjunto de réplicas SYSVOL o DFS.

Los representantes de Symantec describen modificación de NAV del descriptor de seguridad de la manera siguiente:
Durante un examen NAV guardará diversos atributos del archivo (atributos de archivo, el descriptor de seguridad GetFileSecurity, última marca de hora de acceso y así sucesivamente) antes de la detección para que se puede restaurar el archivo a su estado original. Varios de estos atributos, incluidos los descriptores de seguridad (SetFileSecurity) se restauran.

En el caso de replicación de FRS, llamar a la SetFileSecurity de API de Windows para restaurar la replicación de los desencadenadores de descriptor de seguridad. El mismo efecto se puede duplicar en la ficha seguridad del explorador de Windows de conceder permisos de archivo para tener acceso a un archivo de un usuario y después quitar inmediatamente el acceso de derecho.

Este problema no se produce en todos los archivos, sino en archivos de contenedor, incluidos los de .exe, .doc, .ppt, .xls, .zip, .ARC y .cab extensiones.

Mostrar motivos de cambios USN en archivos replicados de FRS

Los archivos de registro de depuración de FRS y los archivos de registro saliente del FRS bases de datos de registro el tipo de cambio que inició la replicación de un archivo o directorio. Utilice el método siguiente para determinar si los programas de detección de virus están causando el tráfico de replicación FRS excesivo en su entorno.

Nota : los ejemplos en este artículo muestra cómo buscar los registros de depuración de razón de cambio.
  1. Aumentar detalle de registro de FRS y endurance. Para ello, inicie el Editor del registro y a continuación, en la siguiente clave del registro
    HLKM\SYSTEM\CCS\Services\NTFRS\Parameters
    Establezca los valores siguientes:
    • "Mensajes de registro máximo (REG_DWORD) de debug" a 20000 decimal (sin comas en entrada del registro)
    • "Archivos de registro (REG_DWORD) de debug" entre decimal 20 a 50

      El detalle de registro predeterminado para la compilación 2195 de Windows 2000 y la versión de Service Pack 1 (SP1) de FRS es el nivel 4. Detalle de registro predeterminado para el SP2 y SP2 versión de revisión de FRS es el nivel 2. Para ver "ContentCmd" los registros de cadena en la depuración de FRS, establezca el valor de "Debug Log Severity (REG_DWORD)" en "4".
  2. Reinicie el servicio y deje que se ejecute durante un período de tiempo suficiente. Si no establece el nivel de detalle de registro suficientemente alto, puede filtrar en la cadena "UsnReason" los registros de depuración para encontrar el tipo de modificación que tuvo lugar.
  3. Desde un símbolo del sistema, escriba la siguiente línea de comandos:
    cd /d % systemroot%\debug "
    Sugerencia : Use la ficha Diseño de la hoja de propiedades comando para establecer el tamaño de ventana, ancho y alto para acomodar la salida de findstr . Utilizar aproximadamente 110 caracteres de ancho y 45 caracteres o más para el alto en una resolución de pantalla de 1024 X 768 mostrar.
  4. Utilice findstr para buscar todas las instancias de la cadena "ContentCmd" en los archivos de registro de depuración:
    c:\ > findstr /i "ContentCmd" % systemroot%\debug\ntfrs_00??.registro
    Se muestra el tipo de cambio que tuvieron lugar en la partición con formato NTFS por la cadena "ContentCmd" en el registro de depuración. Lista de archivos modificados por los programas antivirus que "Seguridad" como el motivo de cambio. De forma similar, plantillas de seguridad que se aplicaron manualmente o por directiva de grupo, así como los administradores establecer permisos en el Explorador de Windows, mostrar también "Seguridad" como el motivo de cambio.

    El siguiente ejemplo muestra la salida de un FRS depurar los registros filtrados con el comando frsstr :
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdDispatch:    ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdAccept:      ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
       <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
       <DbsWriteTableRecord:   S1:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
       <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
    					
  5. Si se sospecha que una replicación excesiva, continúe en la sección "Recuperación de replicación excesivo" en este artículo.

Motivos de cambio de FRS en la depuración de FRS y registros de salida

Indicadores que se establecen en el registro de depuración NTFRS describen modificaciones en archivos replicados de FRS. Replicación de FRS se basa en archivos cerrados que residen en particiones formateadas con NTFS 5.0 en directorios replicados de FRS. Las razones para cambios en directorios replicados de FRS se muestran en la siguiente tabla:
   Close	- Change log close record
   Create	- File or dir was created
   Delete	- File or dir was deleted
   RenNew	- File or dir was renamed
   DatOvrWrt	- Main file data stream was overwritten
   DatExt	- Main file data stream was extended
   DatTrunc	- Main file data stream was truncated
   Info		- Basic info change (attrib, last write time, and so forth)
   Oid		- Object Id change
   StreamNam	- Alternate data stream name change
   StrmOvrWrt	- Alternate data stream was overwritten
   StrmExt	- Alternate data stream was extended
   StrmTrunc	- Alternate data stream was truncated
   EAChg	- Extended file attribute was changed
   Security	- File access permissions changes
   IndexableChg	- File change requires re-indexing.
   HLink	- Hardlink change
   CompressChg	- File compression attribute changed
   EncryptChg	- File encryption changed
   Reparse	- Reparse point changed
				

Evitar el exceso de replicación por utilidades antivirus

Puede utilizar los pasos siguientes para evitar que programas antivirus causa una replicación excesiva de directorios de supervisar FRS:
  1. Excluir directorios replicados de FRS de examinarlo programas antivirus que causan una replicación excesiva.
  2. Obtener las versiones actualizadas de NAV evitar cambiar el descriptor de seguridad de archivos.
  3. Configurar la lista de carpetas que están destinados y excluyó programas antivirus, como se define en el siguiente artículo de Knowledge Base:
    822158Antivirus recomendaciones en un Windows 2000 o en un controlador de dominio de Windows Server 2003

Recuperación de replicación excesivo

Si se descubre una replicación excesiva como consecuencia de un programa antivirus restablecer descriptores de seguridad, considere la siguiente acción:
  1. Detenga el servicio FRS en miembros de conjuntos de réplicas FRS generar demasiados cambios para impedir que aumentar el trabajo acumulado
  2. Detenga los programas, servicios o procesos administrativos que están modificando los archivos y directorios en directorios replicados de FRS. Posibles orígenes de duplicación incluyen:
    1. Cliente de Microsoft Systems Management Server instalado en controladores de dominio de Windows 2000.
    2. Plantillas de seguridad que contiene la directiva de sistema de archivos que se aplican manualmente o mediante Directiva de grupo a unidades organizativas los contenedores primarios que alojan controladores de dominio de Windows 2000 o directorios de replica de DFS.
    3. Diskeeper examina contra contenido replicado por FRS.
    4. Antivirus explora contra contenido replicado por FRS.
    5. Virus programas crear archivos en directorios replicados de FRS.
  3. Identificar los servidores que tienen grandes acumulaciones de cambios

    Utilice el resultado de la utilidad de línea de comandos ntfrsutl sets que se analiza con la secuencia de comandos PERL CONNSTAT para ver a los asociados indirectos que tienen grandes acumulaciones de órdenes de cambio.
  4. Quite o deshabilite las conexiones a los asociados indirectos.

    El servicio FRS crea archivos de ensayo y almacenes cambiar pedidos en su registro saliente para todos los archivos modificados que deben enviarse a los asociados indirectos. Socios que precede en la cadena mantienen archivos de ensayo y cambian pedidos en el registro saliente hasta que todos los asociados indirectos reciben un cambio determinado.

    El servicio FRS elimina archivos del directorio de ensayo y elimina su registro saliente al objeto de la conexión para el asociado descendente o su conexión está deshabilitada; "enabledConnection" es un atributo en Active Directory, SYSVOL y DFS objetos de conexión que se puede establecer a = true|false y que se puede establecer en LDP o ADSIEDIT.

    Eliminar objetos de conexión de Active Directory y SYSVOL es una tarea fácil como que se identifican fácilmente y se pueden volver a crear en los sitios y servicios, complemento.
  5. Escalone la creación y habilitación de objetos de conexión.

Propiedades

Id. de artículo: 284947 - Última revisión: viernes, 26 de octubre de 2007 - Versión: 6.4
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palabras clave: 
kbmt kbproductlink kb3rdparty kbinfo KB284947 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 284947

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com