바이러스 백신 프로그램을 보안 설명자를 수정하고 SYSVOL 및 DFS 과도한 FRS 데이터 복제가 발생할 수 있습니다.

기술 자료 번역 기술 자료 번역
기술 자료: 284947 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

요약

파일 복제 서비스 (FRS)는 3 에서 Lmrepl 서비스 바꿉니다 다중 스레드, 다중 마스터 복제 엔진입니다. x 및 4.0 버전의 Microsoft Windows NT. Microsoft Windows 2000 기반 도메인 컨트롤러 및 서버는 FRS 시스템 볼륨 (SYSVOL에) Windows 2000 기반 클라이언트의 이전에서 상주하는 시스템 정책과 로그온 스크립트를 복제할 수 있습니다.

FRS는 같은 내결함성 분산 파일 시스템(DFS) 루트 또는 링크 복제본을 구성원인 Windows 2000 기반 서버 간에 파일 및 디렉터리 또한 복제할 수 있습니다.

FRS는 복제를 사용하도록 디렉터리 트리 파일에 "종료" 복제를 시작합니다. 만들기 또는 파일의 버전 변경 내용을 기존 파일 삭제하거나 파일 또는 디렉터리에 대한 사용 권한을 다시 설정하는 복제를 트리거할 수 있는 이벤트가 포함됩니다. 이 문서에서는 FRS 규격이 아닌 일부 바이러스 백신 프로그램을 FRS 복제 파일을 호스팅할 디렉터리에 대한 바이러스 검사를 수행할 때 발생하는 현상을 설명합니다. 추가 현상은 다음과 같습니다.
  • SYSVOL 및 DFS 공유에 있는 파일이 과도하게 파일에 해당 복제 세트에 대한 명백한 변경 없이 복제됩니다.
  • 파일을 사용량이 적은 시간에 복제하거나 시 정기적으로 발생하는 시간 바이러스를 검색하는 경우 특정 시간에 또는 낮은 서버 사용률 기간 동안 발생하도록 예약된 수 있습니다.
  • 준비 디렉터리에 있는 파일 수가 꾸준히, 아마도 바이러스 검색 프로그램을 마친 후, 또는 복제를 허용하도록 FRS 일정이 연 후 잠시 비우기 커집니다.
  • 지속적으로 준비 디렉터리에 있는 파일 수가 증가함에 따라 있지만 네트워크 연결 또는 복제 필요로 하는 수정된 파일의 수를 처리할 수 없기 때문에 중 하나를 다운스트림 파트너의 변경 내용을 복제할 수 없는 경우 절대 비웁니다.
  • 과도한 네트워크 대역폭 및 FRS 복제 파트너 간의 네트워크 소통량을 사용하고 담당하는 서비스 것으로 확인된 것입니다.
바이러스 검색 중에 보안 설명자를 다시 알려진 하나의 Norton 바이러스 백신 소프트웨어 (이동) 버전 7.0 및 7.5 프로그램입니다. 바이러스 스캔 중 보안 설명자를 수정하여 다른 바이러스 검사 프로그램을 동일한 현상이 발생합니다.

추가 정보

파일 복제 서비스 (FRS) NTFS 파일 시스템 USN 저널을 파일 및 Sysvol FRS 복제 및 DFS 트리에 발생하는 디렉터리 변경 내용을 모니터링합니다. 일부 바이러스 백신 유틸리티를 바이러스 스캔 중 보안 설명자를 수정합니다. 보안 설명자를 누가, 어떤 액세스 사용자가 입력한 정의하는 파일 시스템 NTFS로 포맷된 드라이브 특성 있고 그룹 파일 및 디렉터리.

FRS 파일 및 디렉터리를 수정 NTFS USN 저널 레코드를 제대로 및 해당 준비 디렉터리의 모든 직접 및 전이 다운스트림 파트너에 복제 변경 큐에 대기시킵니다. 다운스트림 파트너는 DFS 이러한 컴퓨터 또는 인바운드 연결 개체를 변경 내용을 보내는 데 컴퓨터에서 파일을 수정한 SYSVOL 복제 데이터베이스 집합.

검색 일어날 때마다 바이러스 검색 큰 FRS는 복제된 디렉터리에 대해 수백 MB 또는 심지어 기가바이트 파일 분량의 복제를 발생할 수 있습니다. 특히 바이러스 검색과 SYSVOL 또는 DFS 복제 데이터베이스 집합의 두 개 이상의 구성원 수행 중인 수와 복제 종종 필요 수정한 파일 비율 unsustainable, 됩니다.

Symantec에서 담당자는 보안 설명자의 NAV 프로그램의 수정을 다음과 같은 방법으로 설명합니다.
파일을 원래 상태로 복원할 수 있도록 검색 중에 NAV 검색 전에 파일 (파일 특성을 보안 설명자를 GetFileSecurity, 마지막 액세스 타임스탬프, 등) 의 다양한 특성을 저장합니다. 보안 설명자 (SetFileSecurity) 포함하여 이러한 특성을 여러 복원됩니다.

FRS 복제를 보안 설명자를 트리거 복제를 복원하려면 Windows API SetFileSecurity 호출. 사용자가 파일에 액세스하려면 파일 권한 부여 및 액세스 권한을 즉시 제거하는 것과 Windows 탐색기의 [보안] 탭에서 중복될 수 있습니다.

모든 파일이 있지만 .exe, .doc, .ppt, .xls, .zip, .arc, 및 .cab 확장명 포함 아니라 컨테이너 파일을 이 문제가 발생하지 않습니다.

USN 변경 이유 FRS는 복제된 파일 표시

파일 또는 디렉터리 복제를 시작할 변경 유형을 레코드 FRS 디버그 로그 파일과 FRS 아웃바운드 로그 파일을 데이터베이스. 바이러스 검색 프로그램을 확인하려면 다음 방법을 사용하여 사용자 환경에서 과도한 FRS 복제 트래픽을 떨어집니다.

참고: 이 문서의 예제 변경 이유 디버그 로그를 검색하는 방법을 보여 줍니다.
  1. FRS 로그 자세한 정도 및 지구력을 늘립니다. 이렇게 하려면 레지스트리 편집기를 시작한 다음 레지스트리 키 에서 및
    HLKM\SYSTEM\CCS\Services\NTFRS\Parameters
    다음 값을 설정하십시오.
    • "최대 로그 메시지 (REG_DWORD) 20000으로 10진수 (레지스트리 항목에 쉼표가 없습니다) 디버그"
    • "로그 파일 (REG_DWORD) 사이의 20-50명의 소수 디버그"

      Windows 2000 2195 빌드 및 서비스 팩 1 (SP1) 릴리스는 FRS가 기본 로그 자세한 정도 수준 4 입니다. 기본 로그 자세한 정도 SP2 및 SP2 FRS 핫픽스 버전 2 수준입니다. FRS 디버그 문자열을 "ContentCmd" 보려면 로그, "4"을 "디버그 로그 심각도 (REG_DWORD)" 으로 설정합니다.
  2. 서비스를 다시 시작한 다음 충분한 시간 동안 실행되도록 합니다. 로그 자세한 정도 충분히 높게 설정할 경우 사용자가 디버그 로그 발생한 수정 유형을 찾을 수 있는 "UsnReason" 문자열을 필터링할 수 있습니다.
  3. 명령 프롬프트에서 다음 명령줄을 입력하십시오.
    cd/d %systemroot%\debug "
    참고: 명령 속성 시트의 레이아웃 탭을 사용하여 창 크기, 너비 및 높이 findstr 출력을 수용할 수 있도록 설정합니다. 약 110 문자 너비 및 45 문자를 사용하거나 더 높이 화면 해상도가 1024 X 768 따라 표시하십시오.
  4. findstr을 "ContentCmd" 문자열의 모든 인스턴스가 디버그 로그 파일을 찾을 수 있습니다.
    c:\ > findstr/i "ContentCmd" %systemroot%\debug\ntfrs_00?.로그
    NTFS로 포맷된 파티션에 발생한 변경 유형은 "ContentCmd" 문자열을 디버그 로그에 표시됩니다. 변경 이유 "보안" 바이러스 백신 프로그램에 의해 수정된 파일을 나열합니다. 또한 그룹 정책을 뿐만 아니라 의해 관리자는 Windows 탐색기에서 사용 권한 설정, 변경 이유 "보안" 표시 또는 수동으로 적용된 마찬가지로 보안 템플릿.

    다음 샘플에서는 있는 FRS 출력을 보여 frsstr 명령을 사용하여 필터링된 로그를 디버깅:
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdDispatch:    ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdAccept:      ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
       <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
       <DbsWriteTableRecord:   S1:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
       <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
    					
  5. 과도한 복제 의심되는 경우 이 문서의 "복구 에서 과도한 복제" 섹션을 진행하십시오.

FRS 디버그 및 아웃바운드 로그 FRS 변경 이유

NTFRS 디버그 로그 설정된 플래그를 FRS 복제 파일을 설명합니다. FRS 복제는 NTFS 5.0 포맷된 파티션에 있는 FRS 복제 디렉터리의 상주해 있는 닫힌 파일에서 적절해야. FRS 복제 디렉터리의 변경 내용 이유로 다음 테이블에 표시됩니다:
   Close	- Change log close record
   Create	- File or dir was created
   Delete	- File or dir was deleted
   RenNew	- File or dir was renamed
   DatOvrWrt	- Main file data stream was overwritten
   DatExt	- Main file data stream was extended
   DatTrunc	- Main file data stream was truncated
   Info		- Basic info change (attrib, last write time, and so forth)
   Oid		- Object Id change
   StreamNam	- Alternate data stream name change
   StrmOvrWrt	- Alternate data stream was overwritten
   StrmExt	- Alternate data stream was extended
   StrmTrunc	- Alternate data stream was truncated
   EAChg	- Extended file attribute was changed
   Security	- File access permissions changes
   IndexableChg	- File change requires re-indexing.
   HLink	- Hardlink change
   CompressChg	- File compression attribute changed
   EncryptChg	- File encryption changed
   Reparse	- Reparse point changed
				

바이러스 백신 유틸리티를 통해 과도한 복제 방지

다음 단계의 FRS를 모니터링할 디렉터리 과도한 복제 일으키는 바이러스 백신 프로그램을 방지할 수 있습니다.
  1. 과도한 복제를 발생시키는 바이러스 백신 프로그램으로 검색한 FRS 복제 디렉터리를 제외하십시오.
  2. 파일의 보안 설명자가 변경하지 마십시오 NAV 업데이트된 버전을 구하십시오.
  3. 대상 및 다음 기술 자료 문서에서 정의된 대로 바이러스 백신 프로그램에 의해 제외된 폴더 목록을 구성하십시오.
    822158권장 사항을 Windows 2000 또는 Windows Server 2003 도메인 컨트롤러에서 바이러스

과도한 복제 복구

보안 설명자를 다시 설정하면 바이러스 백신 프로그램 결과로 과도한 복제 발견된 경우 다음 작업 계획을 고려하십시오.
  1. 과도한 변경 생성하는 FRS 복제 세트의 구성원에 백로그를 늘리는 것을 방지하기 위해 FRS 서비스를 중지하십시오
  2. 모든 프로그램, 서비스 또는 파일 및 디렉터리를 FRS 복제 디렉터리의 수정 관리 프로세스를 중지하십시오. 잠재적인 원본 복제 다음과 같습니다.
    1. Windows 2000 도메인 컨트롤러에 설치된 Microsoft Systems Management Server 클라이언트.
    2. 수동으로 또는 Windows 2000 도메인 컨트롤러 또는 DFS 복제 디렉터리를 호스팅하는 부모 컨테이너 또는 조직 구성 단위 그룹 정책에 의해 적용되는 파일 시스템 정책이 포함된 보안 템플릿.
    3. FRS는 복제된 내용에서 diskeeper가 검사합니다.
    4. 바이러스 백신 FRS는 복제된 내용에서 검색합니다.
    5. FRS 복제 디렉터리의 파일을 만들 바이러스 프로그램.
  3. 변경 내용을 큰 백로그를 가진 서버 확인

    CONNSTAT PERL 스크립트를 사용하여 구문 분석된 ntfrsutl 설정합니다 명령줄 유틸리티의 출력을 변경 순서 큰 백로그를 가진 다운스트림 파트너 볼 수 있습니다.
  4. 제거하거나 다운스트림 파트너에 연결을 해제하십시오.

    FRS 서비스를 준비 파일을 빌드하고 아웃바운드 로그에 주문을 다운스트림 파트너에 전송된 할 모든 수정된 파일에 대한 저장소 변경. 업스트림 파트너는 준비 파일을 유지하고 모든 다운스트림 파트너 주어진된 변경 내용을 받을 때까지 아웃바운드 로그에서 주문을 변경합니다.

    FRS 서비스를 준비 디렉터리의 파일을 삭제하는 및 다운스트림 파트너 연결 개체 때 아웃바운드 로그 삭제 또는 해당 연결을 사용할 수 없습니다; 설정할 수 있는 Active Directory와 SYSVOL, DFS 연결 개체에 대한 특성 "enabledConnection" 입니다 = true|false 확인하고 LDP, 또는 ADSIEDIT 설정할 수 있습니다.

    Active Directory 및 SYSVOL 연결 개체를 삭제하는 쉽게 작업을 쉽게 식별되는 및 Active Directory 사이트 다시 및 서비스 스냅인이 있습니다.
  5. 만들 겹치지 않게 또는 연결 개체가 사용.

속성

기술 자료: 284947 - 마지막 검토: 2007년 10월 26일 금요일 - 수정: 6.4
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
키워드:?
kbmt kbproductlink kb3rdparty kbinfo KB284947 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com