Programmi antivirus possono modificare i descrittori di protezione e causare un numero eccessivo di dati FRS di repliche SYSVOL e DFS

Traduzione articoli Traduzione articoli
Identificativo articolo: 284947 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Il servizio Replica File (FRS) Ŕ un motore di replica multimaster multithread che sostituisce il servizio Lmrepl nel 3. x e 4.0 versioni di Microsoft controller di dominio Microsoft Windows 2000 in Windows NT e i server utilizzano il FRS per replicare criteri di sistema e accesso gli script che risiedono nel volume di sistema (SYSVOL) per i client basati su Windows 2000 e versioni precedenti.

FRS consente anche di replicare file e directory tra i server basati su Windows 2000 che sono membri delle stesse a tolleranza d ' errore file system distribuito (DFS) directory principale o collegamento repliche.

FRS avvia la replica su "chiuso" file in strutture di directory in cui replica Ŕ stata abilitata. Gli eventi che attivano la replica include la creazione o la eliminazione di un file, la modifica di versione di un file esistente o la reimpostazione delle autorizzazioni su un file o directory. Questo articolo viene descritto i sintomi che si verificano quando alcuni programmi antivirus non sono compatibili con FRS eseguono analisi di virus nelle directory che i file replicati da FRS di host. Ulteriori sintomi includono:
  • I file in condivisioni SYSVOL e DFS vengono replicati eccessivamente senza variazioni visibili ai file in tali set di repliche.
  • I file potrebbe essere replicati in orari e regolarmente volte che si verificano se esegue la scansione antivirus sono pianificati a orari specifici o durante i periodi di utilizzo del server insufficiente.
  • Il numero di file nella directory dell'area di gestione temporanea costantemente aumenta, ad esempio svuotare un giorno imprecisato al termine il programma di scansione antivirus o dopo la pianificazione di FRS viene aperta per consentire la replica.
  • Il numero di file nella directory dell'area di gestione temporanea costantemente aumenta, ma non si svuota se le modifiche ai partner downstream non possono essere replicate a causa di connettivitÓ di rete o l'impossibilitÓ di elaborare il numero di file modificati che richiedono di replica.
  • Traffico di rete tra partner di replica utilizza eccessiva larghezza di banda e di FRS Ŕ determinato dal servizio responsabile.
Uno dei programmi che reimposta i descrittori di protezione durante la ricerca di virus Ŕ Norton AntiVirus (NAV) versioni 7.0 e 7.5. Altri programmi di controllo di virus che modificano i descrittori di protezione durante l'analisi di virus comporta gli stessi sintomi.

Informazioni

Il servizio Replica File (FRS) consente di monitorare le registrazioni di USN sistema file NTFS per file e directory che si verificano in strutture di SYSVOL replicati da FRS e DFS modifiche. Alcune utilitÓ antivirus consente di modificare il descrittore di protezione durante l'analisi di virus. Un descrittore di protezione Ŕ un attributo nel file system di unitÓ formattate NTFS che definisce gli utenti e il tipo di utenti e gruppi devono file e directory.

FRS correttamente registra la modifica del file e directory nel diario NTFS USN e quindi accoda la modifica nella relativa directory dell'area di gestione temporanea per la replica tutti i partner downstream diretti e transitivi. Partner downstream sono quelli in un DFS o repliche SYSVOL impostata che sono oggetti di connessione in ingresso da un computer che invia le modifiche modificati i file.

Analisi di virus in directory replicate di FRS di grandi dimensioni potrebbero causare la replica di centinaia di megabyte o anche patrimonio di gigabyte di file ogni volta che una scansione viene eseguita. Il numero e la velocitÓ di file modificati che richiedono spesso replica diventano un unsustainable, in particolare quando scansioni antivirus vengono eseguite su pi¨ di un membro di un set di repliche SYSVOL o DFS.

I rappresentanti di Symantec descrivono modificare di NAV il descrittore di protezione nel modo seguente:
Durante un'analisi NAV salverÓ vari attributi del file (attributi di file, il descrittore di protezione GetFileSecurity, l'ultimo timestamp accesso e cosý via) prima dell'analisi in modo che il file possa essere ripristinato allo stato originario. Numerosi di questi attributi, inclusi i descrittori di protezione (SetFileSecurity) vengono ripristinati.

In caso di replica di FRS, chiamata SetFileSecurity l'API di Windows per ripristinare la replica di trigger del descrittore di protezione. Lo stesso effetto Ŕ possibile duplicare dalla scheda protezione di Windows Explorer concessione di autorizzazioni file per accedere a un file a un utente, e quindi immediatamente rimuovendo l'accesso a destra.

Questo problema non si verifica in tutti i file, ma piuttosto nel file contenitore, compresi quelli con exe, doc, ppt, xls, con estensione zip, .ARC e CAB estensioni.

Visualizzazione di modifica USN motivi in file replicati da FRS

File di registro di debug FRS e i file di registro in uscita di FRS il record il tipo di modifica che viene avviata la replica di un file o una directory del database. Utilizzare il metodo riportato di seguito per determinare se la ricerca di virus programmi stanno rallentando l'eccessivo traffico di replica di FRS nell'ambiente in uso.

Nota : negli esempi riportati in questo articolo viene illustrato come cercare i registri di debug per il motivo della modifica.
  1. Aumentare dettaglio del log di FRS ed endurance. Per effettuare questa operazione, avviare l'editor del Registro di sistema, quindi nella seguente chiave del Registro di sistema
    HLKM\SYSTEM\CCS\Services\NTFRS\Parameters
    impostare i seguenti valori:
    • "Debug Maximum Log messaggi (REG_DWORD)" per 20000 decimale (senza punto e virgola nella voce del Registro di sistema)
    • "Debug dei file di registro (REG_DWORD)" tra decimale 20 a 50

      Il livello di registro predefinito per la build 2195 di Windows 2000 e il rilascio del Service Pack 1 (SP1) di FRS dettaglio Ŕ di livello 4. Il livello di dettaglio registro predefinito per il SP2 e SP2 versione di aggiornamento rapido (hotfix) di FRS Ŕ livello 2. Per visualizzare "ContentCmd" registri di stringa per il debug di FRS, impostare il valore di "Debug Log Severity (REG_DWORD)" su "4".
  2. Riavviare il servizio e lasciare che viene eseguito per un periodo di tempo sufficiente. Se non si imposta il livello di dettaglio registro sufficientemente elevato, Ŕ possibile filtrare i registri di debug per individuare il tipo di modifica che ha avuto luogo la stringa "UsnReason".
  3. Da un prompt dei comandi, digitare la seguente riga di comando:
    cd /d % systemroot%\debug "
    Suggerimento : utilizzare scheda layout della finestra delle proprietÓ di comando per impostare dimensioni della finestra, larghezza e altezza per contenere l'output di findstr . Utilizzare circa 110 caratteri per larghezza e caratteri di 45 o pi¨ per altezza su una risoluzione dello schermo di 1024 X 768 visualizzare.
  4. Utilizzare findstr per individuare tutte le istanze della stringa "ContentCmd" nei file di registro debug:
    c:\ > findstr /i "ContentCmd" % systemroot%\debug\ntfrs_00??.Registro
    Il tipo di modifica che ha avuto luogo nella partizione NTFS viene visualizzato dalla stringa "ContentCmd" nel Registro di debug. I file che sono stati modificati da programmi antivirus elencati "Protezione" come il motivo della modifica. Analogamente, modelli di protezione che sono stati applicati manualmente o da criteri di gruppo, nonchÚ gli amministratori di impostare autorizzazioni in Esplora risorse, visualizzare anche "Protezione" come il motivo della modifica.

    Nell'esempio seguente viene illustrato l'output di un FRS debug log filtrati tramite il comando frsstr :
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdDispatch:    ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdAccept:      ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
       <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
       <DbsWriteTableRecord:   S1:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
       <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
    					
  5. Se si sospetta un numero eccessivo di replica, passare alla sezione "Ripristino di replica eccessiva" in questo articolo.

Motivi di modifica di FRS nei registri in uscita e di debug di FRS

I flag impostati nel Registro di debug di NTFRS vengono descritte le modifiche ai file replicati da FRS. Replica FRS viene effettuata sui file chiusi residenti su partizioni formattate con NTFS 5.0 nelle directory replicate di FRS. I motivi delle modifiche nella directory replicate di FRS sono visualizzati nella tabella seguente:
   Close	- Change log close record
   Create	- File or dir was created
   Delete	- File or dir was deleted
   RenNew	- File or dir was renamed
   DatOvrWrt	- Main file data stream was overwritten
   DatExt	- Main file data stream was extended
   DatTrunc	- Main file data stream was truncated
   Info		- Basic info change (attrib, last write time, and so forth)
   Oid		- Object Id change
   StreamNam	- Alternate data stream name change
   StrmOvrWrt	- Alternate data stream was overwritten
   StrmExt	- Alternate data stream was extended
   StrmTrunc	- Alternate data stream was truncated
   EAChg	- Extended file attribute was changed
   Security	- File access permissions changes
   IndexableChg	- File change requires re-indexing.
   HLink	- Hardlink change
   CompressChg	- File compression attribute changed
   EncryptChg	- File encryption changed
   Reparse	- Reparse point changed
				

Evitare la replica eccessiva dall'utilitÓ antivirus

╚ possibile utilizzare la procedura seguente per impedire che i programmi antivirus causa di un numero eccessivo di monitoraggio di FRS di directory di repliche:
  1. Escludere le directory replicate di FRS dall'analisi da programmi antivirus che generano la replica eccessiva.
  2. Consente di ottenere le versioni aggiornate di NAV evitare di modificare il descrittore di protezione dei file.
  3. Configurare l'elenco delle cartelle di destinazione e esclusi da programmi antivirus, come definito nell'articolo della Knowledge Base riportato di seguito:
    822158Antivirus raccomandazioni su Windows 2000 o su un controller di dominio Windows Server 2003

Ripristino di replica eccessiva

Se viene rilevato un numero eccessivo di repliche come risultato di un programma antivirus reimpostazione descrittori di protezione, Ŕ necessario considerare il seguente piano di azione:
  1. Interrompere il servizio FRS i membri del set di repliche FRS generazione di un numero eccessivo di modifiche per impedire il backlog di aumento
  2. Interrompere i programmi, servizi o i processi amministrativi che si siano modificando il file e directory nelle directory replicate di FRS. Le origini potenziali di replica includono:
    1. Client Microsoft Systems Management Server installato in Windows 2000 domain controller.
    2. Modelli di protezione contenente i criteri dei file di sistema che vengono applicati manualmente o mediante criteri di gruppo per l'unitÓ organizzative o contenitori padre che ospitano i controller di dominio di Windows 2000 o di directory replicate da DFS.
    3. Esegue la scansione Diskeeper contro il contenuto replicato da FRS.
    4. Esegue la scansione antivirus contro il contenuto replicato da FRS.
    5. Programmi antivirus creazione di file nelle directory replicate di FRS.
  3. Identificare i server che dispongono di grandi dimensioni backlog delle modifiche

    Utilizzare l'utilitÓ della riga di comando ntfrsutl sets viene analizzato l'output con lo script PERL CONNSTAT per visualizzare partner downstream che dispongono di grandi dimensioni backlog degli ordini di modifica.
  4. Rimuovere o disattivare le connessioni ai partner downstream.

    Il servizio Replica file genera file dell'area di gestione temporanea e archivi di modificare gli ordini nel relativo registro in uscita per tutti i file modificati che devono essere inviati ai partner downstream. I partner upstream mantengono i file dell'area di gestione temporanea e modificare gli ordini nella registrazione in uscita fino a quando tutti i partner downstream visualizzato una determinata modifica.

    Il servizio Replica file Elimina file nella directory di staging e viene eliminato il log in uscita quando la connessione oggetto per il partner downstream o la connessione Ŕ disattivata; "enabledConnection" Ŕ un attributo per oggetti di connessione di Active Directory, SYSVOL e DFS pu˛ essere impostata su = true|false e che l'opzione possono essere impostate in LDP o ADSIEDIT.

    L'eliminazione di oggetti connessione per Active Directory e SYSVOL Ŕ un'attivitÓ semplice, in essi sono facilmente identificabili e sarÓ possibile ricreare in Active Directory Sites e snap-in.
  5. Scaglionare la creazione e/o l'abilitazione di oggetti di connessione.

ProprietÓ

Identificativo articolo: 284947 - Ultima modifica: venerdý 26 ottobre 2007 - Revisione: 6.4
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Chiavi:á
kbmt kbproductlink kb3rdparty kbinfo KB284947 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 284947
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com