Антивирусные программы могут изменять дескрипторы безопасности и вызвать избыточную репликацию данных FRS SYSVOL и DFS

Код статьи: 284947 - Список продуктов, к которым относится данная статья.
Переведено с помощью машинного переводаПРЕДУПРЕЖДЕНИЕ: СТАТЬЯ ПЕРЕВЕДЕНА С ПОМОЩЬЮ МАШИННОГО ПЕРЕВОДА
Развернуть все | Свернуть все

На этой странице

Аннотация

Служба репликации файлов (FRS) — это Многопоточная служба механизм репликации с несколькими хозяевами, службе Lmrepl 3.x 4.0 версии Microsoft и домена под управлением Microsoft Windows 2000 Windows NT. серверы и контроллеры используется для репликации системной политики и сценариев входа находящиеся в системном томе (SYSVOL) для клиентов под управлением Windows 2000 и ранее.

Служба FRS также может выполнять репликацию файлов и каталогов между окнами серверы на базе 2000, которые являются членами же отказоустойчивых распределенных файлов Система (DFS) или реплики ссылок.

Служба FRS инициирует репликацию на «закрытые» файлы в структур каталогов, в которых репликация вновь включена. События что может инициировать репликацию включают создание или удаление файла, Изменение версии существующего файла или сброс разрешений на файл или каталога. В этой статье описываются проблемы, возникающие при некоторых антивирусных программ программы, которые несовместимы с FRS выполнять поиск вирусов на каталоги, содержащие файлы реплицируются службой FRS. Дополнительные признаки включают:
  • Файлы в общих папок SYSVOL и DFS реплицируются чрезмерно без очевидной изменения файлов в этих наборах реплик.
  • Файлы могут реплицироваться в часы наименьшей нагрузки или в регулярно встречающееся времени, если поиск вирусов запланированных в определенное время или в периоды низкой сервера загрузки.
  • Число файлов в промежуточном каталоге постоянно растет, возможно очистке попадает после завершения работы программы сканирования вирусов или После открытия расписания FRS для разрешения репликации.
  • Число файлов в промежуточном каталоге постоянно растет, но никогда не очищает, если не могут быть реплицированы изменения на нижестоящих партнеров либо из-за невозможности обработать число или подключения к сети измененные файлы, требующие репликации.
  • Использование сетевого трафика между партнерами по репликации Чрезмерная нагрузка на сеть и FRS определяется ответственного служба.
Одна программа известных дескрипторов безопасности во время сброса вирусы — Norton AntiVirus (NAV) версии 7.0 и 7.5. Другие проверки на вирусы приведет к программам изменять дескрипторы безопасности во время поиск вирусов же симптомы.
Перейти к началу страницы | Отправить отзыв

Дополнительная информация

Служба репликации файлов (FRS) контролирует файловая система NTFS журналы системы USN для изменения файлов и каталогов, которые происходят в Деревья DFS и репликацию FRS Sysvol. Изменение некоторых антивирусных программ дескриптор безопасности во время сканирования вирусов. Дескриптор безопасности имеет атрибут в файловой системе NTFS дисках, определяющее, и тип файлы и каталоги имеют доступ пользователей и групп.

Служба FRS должным образом Записывает изменения в файл и каталог журнала USN файловой системы NTFS, а затем помещает в очередь изменения в его конечной папки для репликации на всех нижестоящих партнеров прямых и транзитивными. Нижестоящий партнер являются эти компьютеры в DFS или набора реплик SYSVOL, которая у объектов подключения от компьютера, отправляющего изменений для входящих подключений измененные файлы.

Поиск вирусов в больших каталогах репликации FRS может привести к репликации сотни мегабайт и гигабайты стоит файлов каждый раз сканирование выполняется. Количество и частота измененных файлов Needing репликации, часто становятся unsustainable, особенно когда сканирование на наличие вирусов выполняются в более чем один элемент набора реплик SYSVOL или DFS.

Представители компании Symantec описывают изменения Навигации по безопасности Дескриптор следующим образом:
Во время сканирования NAV сохранить различные атрибуты файла (атрибуты файла, дескриптор безопасности GetFileSecurity, последний штампа времени доступа и т. д.) перед сканированием, таким образом, файл может быть восстановлена в исходное состояние. Некоторые из этих атрибутов, включая дескрипторы безопасности (SetFileSecurity) будут восстановлены.

В случае использования репликации FRS вызов SetFileSecurity API Windows для восстановления триггеры репликации дескриптора безопасности. Того же эффекта можно дублировать с Безопасность Вкладка проводника Windows, предоставляя пользователю разрешения для доступ к файлу и немедленно удалить права доступа.

Эта проблема не возникает на все файлы, но скорее файлы-контейнеры, в том числе с расширениями .exe, .doc, PPT, .xls, .zip, .arc и .cab.

Просмотр изменений USN причинам репликации FRS файлов

Отладки службы FRS, файлы журналов и файлы журналов исходящие службы FRS запись типа изменений, которая инициировала репликации файла базы данных или каталог. Используйте следующий метод для определения программы сканирования вирусов вызывает чрезмерный объем трафика репликации FRS в вашей среде.

ПРИМЕЧАНИЕ: В этой статье примерах демонстрируется поиск отладки журналы по причине изменений.
  1. Увеличьте уровень детализации журнала FRS и нагрузочное тестирование. Для этого запустите Редактор реестра, а затем в следующем разделе реестра
    HLKM\SYSTEM\CCS\Services\NTFRS\Parameters
    Установите следующие значения:
    • «Максимум журнала сообщения отладки (REG_DWORD)"до 20000 десятичное число (отсутствует запятая в записи реестра)
    • «Отладка файлов журналов (REG_DWORD)» от 20 до 50 десятичная

      Уровень детализации журнала по умолчанию для сборки Windows 2000 2195 и Выпуск пакета обновления 1 (SP1) служба FRS является уровень 4. Уровень детализации журнала по умолчанию для 2 (SP2) и 2 (SP2) версии исправления FRS является уровень 2. Чтобы увидеть «contentcmd» Записывает строку в отладки службы FRS, присвоено значение "Debug журнал серьезности (REG_DWORD)" «4».
  2. Перезапустите службу и позвольте ей выполнить достаточно для период времени. Если вы не достаточно высокий уровень детализации журнала, может быть возможности фильтрации данных в журнале отладки для поиска типа в строке «usnreason» изменения, выполнялась.
  3. В командной строке введите следующую команду:
    CD /d % systemroot%\debug"
    ПОДСКАЗКА: Использование Макет Вкладка окна свойств команды, чтобы задать размер окна, ширину, и Высота в соответствии с Команда findstr выходные данные. Использовать ширину и 45 примерно 110 знаков символы или больше высоты на разрешение экрана 1024 X 768 Отображение.
  4. Использование Команда findstr Чтобы найти все вхождения строки «contentcmd» в debug файлы журнала:
    % systemroot%\debug\ntfrs_00 «contentcmd» /i c:\>findstr ОК.журнал
    Тип изменения, выполнялась в формат NTFS раздел отображается в строке «contentcmd» в журнале отладки. Файлы изменены пользователем список антивирусных программ «Безопасность» в качестве причины изменения. Аналогичным образом шаблоны безопасности, которые были применены вручную или с помощью групповой политики, как так как Администраторы, установка разрешений в проводнике Windows также показывают «Безопасность» как Причина изменения.

    Следующий пример иллюстрирует выходные данные отладки службы FRS, журналы через фильтр frsstr команда:
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
   <ChgOrdDispatch:    ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
   <ChgOrdAccept:      ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
   <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
   <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
   <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
   <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
   <DbsWriteTableRecord:   S1:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
   <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
  5. При подозрении избыточную репликацию, перейдите к разделу Раздел «Восстановление чрезмерное репликации» данной статьи.

Причины изменения FRS отладки службы FRS и исходящего трафика журналов

Флаги, заданные в журнал отладки NTFRS описывают изменения для репликации FRS файлов. Закрытые файлы, находящиеся обусловливается репликации FRS в формате NTFS 5.0 секций в репликации службы репликации файлов каталогов. Причины изменения в репликации FRS каталоги отображаются в следующей таблице: 
   Close	- Change log close record
   Create	- File or dir was created
   Delete	- File or dir was deleted
   RenNew	- File or dir was renamed
   DatOvrWrt	- Main file data stream was overwritten
   DatExt	- Main file data stream was extended
   DatTrunc	- Main file data stream was truncated
   Info		- Basic info change (attrib, last write time, and so forth)
   Oid		- Object Id change
   StreamNam	- Alternate data stream name change
   StrmOvrWrt	- Alternate data stream was overwritten
   StrmExt	- Alternate data stream was extended
   StrmTrunc	- Alternate data stream was truncated
   EAChg	- Extended file attribute was changed
   Security	- File access permissions changes
   IndexableChg	- File change requires re-indexing.
   HLink	- Hardlink change
   CompressChg	- File compression attribute changed
   EncryptChg	- File encryption changed
   Reparse	- Reparse point changed

Как избежать чрезмерного репликации по антивирусной программы

Можно использовать следующие шаги для предотвращения антивирусных программ из вызывающих чрезмерные репликации FRS мониторинг каталогов:
  1. Исключить папки репликации службы репликации файлов из процесса антивирусные программы, которые вызывают избыточное репликации.
  2. Получить обновленные версии NAV, следует избегать дескриптор безопасности файлов.
  3. Настройте список папок, которые предназначены и исключенными антивирусных программ, как определено в следующей статье базы знаний:
    822158
    (http://support.microsoft.com/kb/822158/ )
    Рекомендации по использованию Windows 2000 или на контроллере домена Windows Server 2003 антивирусных

Восстановление после избыточную репликацию

Если чрезмерная репликации из-за антивирусной программы Сброс дескрипторов безопасности обнаруживается, рассмотрите следующие действия план:
  1. Остановка службы FRS на членах репликации FRS Создание чрезмерного изменений для предотвращения увеличения невыполненной работы
  2. Остановка программы, службы и административные процессы При изменении файлов и каталогов в каталогах репликации службы репликации файлов. Потенциальные источники репликации включают:
    1. Клиент Microsoft Systems Management Server, установленных на Контроллеры домена Windows 2000.
    2. Шаблоны безопасности, содержащий файл системной политики, применяются вручную или с помощью групповой политики для подразделения или родительский контейнеры, в которых размещены контроллеры домена Windows 2000 или репликации DFS каталоги.
    3. По Diskeeper сканирования репликации FRS содержимое.
    4. Антивирусное сканирование от репликации службы репликации файлов содержимое.
    5. Создание файлов в репликации FRS программы-вирусы каталоги.
  3. Определение серверов, имеющих больших задержек записи

    Используйте выходные данные ntfrsutl sets Служебная программа командной строки, которая анализируется с помощью сценариев CONNSTAT PERL Чтобы просмотреть нижестоящих партнеров, имеющих больших задержек изменений заказы.
  4. Удаление или отключение подключения к нижестоящим партнеры.

    Построение файлов размещения службы FRS и сохраняет изменения заказы в его исходящий журнал для всех измененных файлов, которые необходимы для отправки нижестоящий партнер. Вышестоящий сохранения файлов размещения и распоряжений об изменении в исходящем журнале до всех нижестоящих партнеров получаете изменения.

    Служба FRS удаляет файлы в папке размещения и его Исходящий журнал, когда удаляется объект подключения на нижестоящих партнеров или связь отключена; «enabledConnection» является атрибутом в Active Directory SYSVOL и объектов подключения DFS, которые могут быть установлены на = true|false и что can Установите в LDP или оснастки ADSIEDIT.

    Удаление объектов подключения для активных Directory и SYSVOL является простой задачей, как они легко идентифицируются и могут быть повторно в Active Directory — сайты и службы.
  5. Периодичность создания и/или Включение подключения объекты.
Перейти к началу страницы | Отправить отзыв

Свойства

Код статьи: 284947 - Последнее изменение :: 5 июня 2011 г. - Редакция: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключевые слова: 
kbproductlink kb3rdparty kbinfo kbmt KB284947 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:284947
(http://support.microsoft.com/kb/284947/en-us/ )
Перейти к началу страницы | Отправить отзыв

Отправить отзыв

 
Перейти к началу страницыПерейти к началу страницы