Logiciels antivirus peuvent modifier les descripteurs de sécurité et entraîner excessive de la réplication de données FRS dans SYSVOL et DFS

Traductions disponibles Traductions disponibles
Numéro d'article: 284947 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Le service de réplication de fichiers (FRS) est un moteur de réplication multithread multimaître qui remplace le service lmrepl dans les 3. x et les versions 4.0 de Microsoft contrôleurs de domaine Windows 2000 de Windows NT. et serveurs utilisent FRS pour répliquer les stratégies système et d'ouverture de session les scripts qui résident dans le volume système (SYSVOL) pour les clients Windows 2000 et versions antérieures.

Service de réplication de fichiers peut également répliquer des fichiers et répertoires entre des serveurs Windows 2000 qui sont membres du mêmes à tolérance de pannes système de fichiers distribués (DFS) racine ou liaison réplicas.

Service de réplication de fichiers démarre la réplication sur Clôturé » des fichiers dans arborescences de répertoire dans lequel la réplication a été activée. Événements peuvent déclencher la réplication inclure la création ou la suppression d'un fichier, une modification de version un fichier existant, ou la réinitialisation des autorisations sur un fichier ou répertoire. Cet article décrit les problèmes qui se produisent lorsque certains programmes antivirus qui ne sont pas compatibles FRS effectuer des analyses antivirus sur répertoires que fichiers de réplication FRS ordinateur hôte. Symptômes supplémentaires incluent :
  • Fichiers partages SYSVOL et DFS sont répliqués excessivement qui ne visible aux fichiers de ces jeux de réplicas.
  • Les fichiers peuvent répliquer aux heures creuses, ou à régulièrement qui revient heures si analyse de virus sont planifiées se produit à des heures spécifiques ou pendant les périodes d'utilisation du serveur faible.
  • Le nombre de fichiers dans le répertoire de mise en attente en permanence augmente, peut-être vidage comprise une fois le programme d'analyse antivirus terminée ou après que la planification du service de réplication de fichiers s'ouvre pour autoriser la réplication.
  • Le nombre de fichiers du répertoire intermédiaire constamment augmente mais jamais vide si les modifications aux partenaires en aval ne peut pas être répliquées en raison de la connectivité réseau ou une incapacité à traiter le nombre de fichiers modifiés nécessitant une réplication.
  • Le trafic réseau entre des partenaires de réplication consomme la bande passante réseau excessive et FRS est déterminée au service responsable.
Un programme est connu pour réinitialiser les descripteurs de sécurité lors d'analyse de virus est NAV (Norton AntiVirus) versions 7.0 et 7.5. Autres programmes de vérification de virus qui modifier les descripteurs de sécurité pendant les analyses antivirus entraîne les mêmes problèmes.

Plus d'informations

Le service de réplication de fichier (FRS) surveille les journaux USN NTFS fichier système pour modifications aux fichiers et répertoires qui se produisent dans les arborescences de réplication FRS Sysvol et DFS. Certains utilitaires antivirus modifier le descripteur de sécurité pendant les analyses antivirus. Un descripteur de sécurité est un attribut du système de fichiers des lecteurs au format NTFS qui définit qui et le type d'accès aux utilisateurs et groupes sont aux fichiers et répertoires.

Service de réplication de fichiers correctement enregistre la modification du fichier et le répertoire dans le journal NTFS USN et puis files d'attente de la modification de son répertoire de transit pour la réplication à tous les directs et transitifs en aval partenaires. Partenaires en aval sont les ordinateurs dans un DFS ou qu'ont objets de connexion entrante à partir d'un ordinateur qui est l'envoi des modifications pour modifiés fichiers du jeu de réplicas SYSVOL.

Analyses antivirus contre les répertoires de réplication FRS grands peuvent entraîner la réplication des centaines de mégaoctets ou même les valeur gigaoctets de fichiers chaque fois qu'une analyse a lieu. Le numéro et taux de fichiers modifiés nécessitant une réplication souvent deviennent unsustainable, en particulier lorsque les analyses de virus sont lieu sur plus d'un membre d'un jeu de réplicas SYSVOL ou DFS.

Responsables de Symantec décrivent la modification du NAV du descripteur de sécurité de la manière suivante :
Lors d'une analyse NAV va enregistrer divers attributs du fichier (attributs de fichier, le descripteur de sécurité GetFileSecurity, dernier horodatage d'accès et ainsi de suite) avant l'analyse afin que le fichier peut être restauré à son état d'origine. Plusieurs de ces attributs, y compris les descripteurs de sécurité (SetFileSecurity) sont restaurées.

Dans le cas de réplication FRS, appel de la SetFileSecurity API Windows pour restaurer la réplication de déclencheurs de descripteur de sécurité. Le même effet peut être dupliquée dans l'onglet sécurité de l'Explorateur Windows en accorder des autorisations de fichier pour accéder à un fichier à un utilisateur, puis supprimer immédiatement l'accès à droite.

Ce problème ne se produit pas sur tous les fichiers, mais plutôt sur conteneur de fichiers, notamment ceux avec .exe, .doc, .ppt, .xls, .zip, .arc et extensions .cab.

Afficher des motifs de modification USN sur fichiers FRS répliqué

Les fichiers journaux de débogage FRS et les fichiers journaux sortant du service de réplication de fichiers de base de données le type de modification ayant initié la réplication d'un fichier ou un répertoire d'enregistrement. Utilisez la méthode suivante pour déterminer si les programmes anti-virus provoquent trafic de réplication FRS excessif dans votre environnement.

Remarque : les exemples de cet article illustrent comment rechercher les journaux de débogage pour raison de modifications.
  1. Augmenter niveau de détail du journal de service de réplication de fichiers et de longévité. Pour cela, démarrez l'Éditeur du Registre, puis, dans la clé de Registre suivante
    HLKM\SYSTEM\CCS\Services\NTFRS\Parameters
    définir les valeurs suivantes :
    • « Déboguer des messages de journal maximale (REG_DWORD) » à 20000 décimal (sans virgule dans entrée de Registre)
    • « Déboguer fichiers journaux (REG_DWORD) » entre 20 à 50 décimal

      Le niveau de détail journal pour la version de Windows 2000 2195 et la version Service Pack 1 (SP1) de service de réplication de fichiers de par défaut est de niveau 4. Le niveau de détail du journal par défaut pour le Service Pack 2 et Service Pack 2 version de correctif du service de réplication de fichiers est niveau 2. Pour visualiser la ContentCmd chaîne dans le débogage du service de réplication de fichiers journaux, définir la valeur « débogage journal gravité (REG_DWORD) » à « 4 ».
  2. Redémarrez le service et puis laissez-le exécuter pour une période suffisante. Si vous ne définissez pas le niveau de détail le journal du assez élevé, vous pourrez filtrer la chaîne « UsnReason » dans les journaux de débogage pour rechercher le type de modification a eu lieu.
  3. À partir d'une invite de commandes, tapez la ligne de commande suivante :
    cd /d % systemroot%\debug "
    CONSEIL : utilisez l'onglet Mise en page de la feuille de propriétés de commande pour définir taille de la fenêtre, largeur et hauteur pour tenir compte de sortie de findstr . Utiliser environ 110 caractères pour la largeur et 45 caractères ou plus de hauteur sur une résolution d'écran de 1024 X 768 afficher.
  4. Utilisez findstr pour rechercher toutes les instances de la chaîne « ContentCmd » dans les fichiers journaux de débogage :
    c:\ > findstr /i "ContentCmd" % systemroot%\debug\ntfrs_00??.journal
    Le type de modification a eu lieu sur la partition au format NTFS est affiché par la chaîne « ContentCmd » dans le journal de débogage. Fichiers qui ont été modifiés par des programmes antivirus liste « sécurité » en tant que la raison de modifications. De même, modèles de sécurité ont été appliquées manuellement ou par la stratégie de groupe, ainsi que les administrateurs de définir des autorisations dans l'Explorateur Windows, affichent également « sécurité » en tant que la raison de modifications.

    L'exemple suivant montre la sortie d'un service de réplication de fichiers journaux filtrées à l'aide de la commande frsstr de débogage :
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdDispatch:    ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdAccept:      ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
       <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
       <DbsWriteTableRecord:   S1:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
       <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
    					
  5. Si la réplication excessive est soupçonnée, passez à la section « Récupération de excessive réplication » de cet article.

Motifs de modification du service de réplication de fichiers dans le débogage FRS et journaux sortant

Indicateurs qui sont définis dans le journal de débogage NTFRS décrivent les modifications apportées aux fichiers de réplication FRS. Réplication FRS est affirmée sur les fichiers fermés résidant sur des partitions au format NTFS 5.0 dans les répertoires de réplication FRS. Les motifs de modifications de répertoires de réplication FRS sont affichés dans la table suivante :
   Close	- Change log close record
   Create	- File or dir was created
   Delete	- File or dir was deleted
   RenNew	- File or dir was renamed
   DatOvrWrt	- Main file data stream was overwritten
   DatExt	- Main file data stream was extended
   DatTrunc	- Main file data stream was truncated
   Info		- Basic info change (attrib, last write time, and so forth)
   Oid		- Object Id change
   StreamNam	- Alternate data stream name change
   StrmOvrWrt	- Alternate data stream was overwritten
   StrmExt	- Alternate data stream was extended
   StrmTrunc	- Alternate data stream was truncated
   EAChg	- Extended file attribute was changed
   Security	- File access permissions changes
   IndexableChg	- File change requires re-indexing.
   HLink	- Hardlink change
   CompressChg	- File compression attribute changed
   EncryptChg	- File encryption changed
   Reparse	- Reparse point changed
				

Éviter la réplication excessive par les utilitaires antivirus

Vous pouvez utiliser les étapes suivantes pour empêcher les programmes antivirus provoque excessive de réplication de répertoires surveillés de FRS :
  1. Exclure des répertoires de réplication FRS d'analysé par les programmes antivirus qui entraîner excessive de la réplication.
  2. Obtenir les versions mises à jour de NAV éviter de modifier le descripteur de sécurité des fichiers.
  3. Configurer la liste des dossiers ciblés et exclus par des programmes antivirus tel que défini dans l'article suivant de la base de connaissances :
    822158 Antivirus recommandations sur Windows 2000 ou sur un contrôleur de domaine Windows Server 2003

Récupération de réplication excessive

Si excessive réplication comme une suite d'un programme antivirus réinitialisation des descripteurs de sécurité est découvert, considérez le plan d'action suivant :
  1. Arrêter le service FRS sur les membres de jeux de réplicas FRS génération trop de modifications pour empêcher l'augmentation de la file d'attente
  2. Arrêter les programmes, services ou processus administratifs que modifiez fichiers et répertoires dans les répertoires répliqués FRS. Les sources potentielles de réplication incluent :
    1. Client de Microsoft Systems Management Server installé sur les contrôleurs de domaine Windows 2000.
    2. Modèles de sécurité contenant le fichier de la stratégie système qui sont appliquées manuellement ou par la stratégie de groupe aux unités d'organisation ou conteneurs parents qui hébergent des contrôleurs de domaine Windows 2000 ou des répertoires répliqués DFS.
    3. Diskeeper analyse contre le contenu de réplication FRS.
    4. Antivirus analyse contre le contenu de réplication FRS.
    5. Virus programmes créer des fichiers dans des répertoires répliqués FRS.
  3. Identifier les serveurs qui ont backlogs volumineuses des modifications

    Utilisez la sortie de le ntfrsutl définit de ligne de commande utilitaire qui est analysé avec le script CONNSTAT PERL pour afficher des partenaires en aval qui ont backlogs volumineuses des commandes de modification.
  4. Supprimer ou désactiver les connexions aux partenaires en aval.

    Le service de réplication de fichiers crée des fichiers intermédiaires et banques de modifier des commandes dans le journal sortant pour tous les fichiers modifiés qui doivent être envoyées aux partenaires en aval. Partenaires en amont conserver les fichiers intermédiaires et modifiez les commandes dans le journal sortant jusqu'à ce que tous les partenaires en aval recevoir une modification donnée.

    Le service de réplication de fichiers supprime des fichiers dans le répertoire de la zone de transit et son journal sortant lorsque la connexion objet et le partenaire en aval est supprimée ou la connexion est désactivée; « enabledConnection » est un attribut sur Active Directory, SYSVOL et DFS objets connexion qui peut être définie à = true|false et qui peuvent être définies dans LDP, ou ADSIEDIT.

    Suppression des objets de connexion pour Active Directory et SYSVOL est une tâche facile comme ils sont faciles à identifier et peuvent être recréés dans les sites Active Directory et composant logiciel enfichable Services.
  5. Échelonner la création et/ou l'activation d'objets de connexion.

Propriétés

Numéro d'article: 284947 - Dernière mise à jour: vendredi 26 octobre 2007 - Version: 6.4
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Mots-clés : 
kbmt kbproductlink kb3rdparty kbinfo KB284947 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 284947
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com