Os programas antivírus podem modificar os descritores de segurança e causar replicação excessiva de dados do FRS SYSVOL e DFS

Traduções de Artigos Traduções de Artigos
Artigo: 284947 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

O serviço de replicação de ficheiros (FRS, File Replication Service) é um motor de replicação multithread, vários servidores principais que substitui o serviço Lmrepl no 3. x e 4.0 versões do Microsoft controladores de domínio baseado no Microsoft Windows 2000 do Windows NT. e servidores utilizam FRS para replicar a política de sistema e início de sessão scripts que residem na System Volume (SYSVOL) para clientes baseados no Windows 2000 e versões anteriores.

O FRS também pode replicar ficheiros e directórios entre servidores baseados no Windows 2000 que são membros do mesmos tolerância a falhas (DFS) raiz ou ligação réplicas.

O FRS inicia a replicação em ficheiros "fechado" árvores de directório no qual a replicação foi activada. Eventos que podem accionar a replicação incluem a criação ou eliminação de um ficheiro, uma alteração de versão para um ficheiro existente ou a repor permissões num ficheiro ou directório. Este artigo descreve os sintomas ocorrem quando alguns programas antivírus que não sejam compatíveis com o FRS, File Replication Service executam análises de vírus em directórios que alojam ficheiros de replicação de FRS, File Replication Service. Os sintomas adicionais incluem:
  • Os ficheiros em partilhas SYSVOL e DFS são replicados excessivamente aparente sem alterar os ficheiros os conjuntos de réplicas.
  • Podem replicar ficheiros com as horas de menor volume de trabalho ou em regularmente vezes que ocorre se a pesquisa de vírus estão agendadas para ocorrer em alturas específicas ou durante períodos de utilização do servidor baixa.
  • O número de ficheiros no directório transição constantemente aumenta, talvez esvaziar algures depois de concluir o programa de detecção de vírus ou depois de abre a agenda de FRS, File Replication Service para permitir a replicação.
  • O número de ficheiros no directório transição constantemente aumenta, mas nunca esvazia se alterações a jusante parceiros não podem ser replicadas devido a conectividade de rede ou incapacidade de processar o número de ficheiros modificados necessitar de replicação.
  • Tráfego de rede entre parceiros de replicação está a consumir banda excessivo e FRS, File Replication Service é determinado seja o serviço responsável.
Um programa que é conhecido como repor descritores de segurança durante a detecção de vírus é Norton AntiVirus (NAV) versões 7.0 e 7.5. Outros programas de verificação de vírus que modificar descritores de segurança durante verificações de vírus resultará nos mesmos sintomas.

Mais Informação

O serviço de replicação de ficheiros (FRS) monitoriza diários NTFS USN do sistema de ficheiro para alterações a ficheiros e directórios que ocorrem em árvores de replicação de FRS, File Replication Service SYSVOL e DFS. Alguns utilitários de anti-vírus modificar o descritor de segurança durante verificações de vírus. Um descritor de segurança é um atributo no sistema de ficheiros de unidades formatadas com NTFS que definem quem e o tipo de utilizadores de acesso e grupos têm de ficheiros e directórios.

FRS, File Replication Service correctamente regista a alteração para o ficheiro e o directório no diário de NTFS USN e, em seguida, coloca a alteração no respectivo directório de teste para replicação para todos os parceiros descendentes de directas e transitivas. Parceiros descendentes são os computadores de um DFS ou conjunto de réplicas SYSVOL que têm objectos de ligação de entrada de um computador que está a enviar alterações ficheiros modificados.

Verificações de vírus em grandes listas de replicação de FRS, File Replication Service podem resultar na replicação de centenas de megabytes ou mesmo valor de gigabytes de ficheiros sempre que ocorre uma pesquisa. O número e a taxa de que necessitam frequentemente de replicação de ficheiros modificados ficam unsustainable, particularmente quando as verificações de vírus são decorre em mais do que um membro do conjunto de réplicas SYSVOL ou DFS.

Os representantes da Symantec descrevem modificação da NAV de descritor de segurança da seguinte forma:
Durante uma análise NAV guardará vários atributos do ficheiro (atributos de ficheiro, o descritor de segurança GetFileSecurity, último carimbo de data/hora de acesso e por aí em diante) antes da verificação de modo a que o ficheiro pode ser restaurado a respectiva condição original. Vários destes atributos, incluindo os descritores de segurança (SetFileSecurity) são restaurados.

No caso de replicação de FRS, File Replication Service, chamar SetFileSecurity de API do Windows para restaurar a replicação de accionadores de descritor de segurança. O mesmo efeito pode ser duplicado do separador ' segurança ' do Explorador do Windows conceder permissões de ficheiro para acesso a um ficheiro de um utilizador e, em seguida, removendo imediatamente o acesso à direita.

Este problema não ocorre em todos os ficheiros, mas em vez no contentor ficheiros, incluindo aqueles com .exe, .doc, .ppt, .xls, .zip, .ARC e .cab extensões.

Apresentar motivos de alteração USN no FRS, File Replication Service replicado ficheiros

Os ficheiros de registo de depuração FRS, File Replication Service e os ficheiros de registo de saída do FRS da base de dados registo o tipo de alteração que iniciou a replicação de um ficheiro ou directório. Utilizar o método seguinte para determinar se vírus pesquisar programas estão a causar tráfego de replicação de FRS, File Replication Service excessivo no seu ambiente.

Nota : os exemplos neste artigo ilustram como procurar os registos de depuração por motivo de alteração.
  1. Aumente a verbosidade de registo do FRS, File Replication Service e endurance. Para tal, inicie o Editor de registo e, em seguida, na seguinte chave de registo
    HLKM\SYSTEM\CCS\Services\NTFRS\Parameters
    Defina os seguintes valores:
    • "Mensagens de registo máximo (REG_DWORD) de depuração" para 20000 decimal (não vírgula na entrada do registo)
    • "Ficheiros de registo (REG_DWORD) de depuração" entre 20 a 50 decimal

      A verbosidade de registo predefinido para a compilação 2195 do Windows 2000 e versão do Service Pack 1 (SP1) do FRS, File Replication Service é nível 4. A verbosidade de registo predefinido para o SP2 e o SP2 versão de correcção do FRS, File Replication Service é nível 2. Para ver o "ContentCmd" cadeia de depuração de FRS, File Replication Service registos, defina o valor de "depuração registo gravidade (REG_DWORD)" a "4".
  2. Reinicie o serviço e deixe execute durante um período de tempo suficiente. Se não definir a verbosidade de registo suficientemente alta, poderá filtrar a cadeia "UsnReason" nos registos de depuração para localizar o tipo de modificação que ocorreram.
  3. A partir de uma linha de comandos, escreva a seguinte linha de comandos:
    cd /d % systemroot%\debug "
    sugestão : Utilize o separador esquema da folha de propriedades comandos para definir tamanho da janela, largura e altura para acomodar findstr saída. Utilize aproximadamente 110 caracteres para largura e a 45 caracteres ou mais para altura numa resolução de ecrã de 1024 X 768 apresentar.
  4. Utilize o comando findstr para localizar todas as ocorrências da cadeia "ContentCmd" nos ficheiros de registo de depuração:
    c:\ > findstr /i "ContentCmd" % systemroot%\debug\ntfrs_00??.registo
    É apresentado o tipo de alteração efectuado numa partição formatada em NTFS pela cadeia "ContentCmd" no registo de depuração. Listam de ficheiros que foram modificados por programas antivírus "Security", o motivo de alteração. Do mesmo modo, modelos de segurança que foram aplicados manualmente ou por política de grupo, bem como os administradores a definir permissões no Explorador do Windows, também mostram "Security", o motivo de alteração.

    O exemplo que se segue ilustra a saída de um FRS, File Replication Service depurar registos filtrados com o comando frsstr :
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdDispatch:    ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdAccept:      ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
       <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
       <DbsWriteTableRecord:   S1:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
       <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
    					
  5. Se suspeita replicação excessiva, avance para a secção "Recuperar de excessivo Replication" neste artigo.

Razões de alteração de FRS, File Replication Service na depuração de FRS, File Replication Service e registos de saída

Sinalizadores definidos no registo de depuração NTFRS descrevem as modificações aos ficheiros de replicação de FRS, File Replication Service. Replicação de FRS, File Replication Service é predicated fechadas ficheiros que residam em partições formatadas NTFS 5.0 em directórios replicados de FRS, File Replication Service. As razões para alterações nos directórios de replicação de FRS, File Replication Service são apresentadas na tabela que se segue:
   Close	- Change log close record
   Create	- File or dir was created
   Delete	- File or dir was deleted
   RenNew	- File or dir was renamed
   DatOvrWrt	- Main file data stream was overwritten
   DatExt	- Main file data stream was extended
   DatTrunc	- Main file data stream was truncated
   Info		- Basic info change (attrib, last write time, and so forth)
   Oid		- Object Id change
   StreamNam	- Alternate data stream name change
   StrmOvrWrt	- Alternate data stream was overwritten
   StrmExt	- Alternate data stream was extended
   StrmTrunc	- Alternate data stream was truncated
   EAChg	- Extended file attribute was changed
   Security	- File access permissions changes
   IndexableChg	- File change requires re-indexing.
   HLink	- Hardlink change
   CompressChg	- File compression attribute changed
   EncryptChg	- File encryption changed
   Reparse	- Reparse point changed
				

Evitar replicação excessivo por utilitários de anti-vírus

Pode utilizar os seguintes passos para impedir que programas antivírus causar replicação excessiva de directórios monitorizado FRS, File Replication Service:
  1. Excluir directórios replicados de FRS, File Replication Service da ser pesquisado por programas antivírus causar replicação excessiva.
  2. Obter as versões actualizadas do NAV que evite alterar o descritor de segurança dos ficheiros.
  3. Configure a lista de pastas que são alvo e excluídos por programas antivírus, tal como é definido o seguinte artigo da base de dados de conhecimento da:
    822158Recomendações relativas num Windows 2000 ou num controlador de domínio Windows Server 2003 a detecção de vírus

Recuperar de replicação excessivo

Se é identificada replicação excessiva como resultado de um programa antivírus repor descritores de segurança, considere o seguinte plano de acção:
  1. Pare o serviço FRS em membros de conjuntos de réplicas FRS, File Replication Service gerar alterações excessivas para impedir que o backlog aumentar
  2. Pare programas, serviços ou processos administrativos que estão a modificar ficheiros e directórios nos directórios de replicação de FRS, File Replication Service. Fontes potenciais de replicação incluem:
    1. Cliente do Microsoft Systems Management Server instalado em controladores de domínio do Windows 2000.
    2. Modelos de segurança que contém a política de sistema de ficheiros que são aplicados pela política de grupo para a unidades organizacionais ou contentores principais que hospedam o controladores de domínio do Windows 2000 ou directórios de replicação de DFS ou manualmente.
    3. Pesquisa Diskeeper contra conteúdo de replicação de FRS, File Replication Service.
    4. Pesquisa antivírus contra conteúdo de replicação de FRS, File Replication Service.
    5. Programas de vírus criar ficheiros nos directórios de replicação de FRS, File Replication Service.
  3. Identificar os servidores que tenham backlogs grandes de alterações

    Utilize a saída do utilitário de linha de comandos ntfrsutl define que é analisado com o script de PERL CONNSTAT para visualizar parceiros descendentes com grandes backlogs de ordens de alteração.
  4. Remova ou desactive as ligações a jusante parceiros.

    O serviço FRS cria ficheiros de teste e arquivos alterar encomendas no respectivo registo de saída para todos os ficheiros modificados que necessitam de ser enviados para parceiros descendentes. Montante parceiros mantém ficheiros de teste e alterar encomendas no registo de saída até que todos os parceiros jusante receber uma determinada alteração.

    O serviço FRS elimina ficheiros no directório de teste e respectivo registo de saída quando a ligação de objecto para o parceiro descendente é eliminado ou a ligação está desactivada; "enabledConnection" é um atributo no Active Directory, SYSVOL e DFS objectos de ligação que podem ser definidas para = true|false e que pode ser definida na LDP ou ADSIEDIT.

    Eliminar objectos de ligação do Active Directory e do SYSVOL é uma tarefa fácil à medida que são facilmente identificadas e podem ser recriados de locais do Active Directory e snap-in Serviços.
  5. Escalonar a criação e/ou activação de objectos de ligação.

Propriedades

Artigo: 284947 - Última revisão: 26 de outubro de 2007 - Revisão: 6.4
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbmt kbproductlink kb3rdparty kbinfo KB284947 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 284947

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com