Antivírusové programy môžu upraviť popisovače zabezpečenia a spôsobovať nadmerné replikácie údaje FRS SYSVOL a DFS

Preklady článku Preklady článku
ID článku: 284947 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

SUHRN

Služba replikácie súborov (FRS) je viacnásobnou postupnosťou, multimaster replikácie motor, ktorý nahrádza Lmrepl službu v 3.x a 4.0 verzie systému Microsoft Windows NT. so systémom Microsoft Windows 2000 domény radiče a servery používajú FRS na replikáciu politiky a prihlasovacie skripty systému ktoré majú bydlisko v systéme objem (SYSVOL) pre klientov so systémom Windows 2000 a skôr.

FRS môžete tiež replikovať súborov a adresárov medzi oknami 2000-založené serverov, ktoré sú členmi toho istého odolný voči chybám distribuované súboru Systém (DFS) koreňového adresára alebo prepojenia replík.

FRS iniciuje replikáciu na "uzavretý" súbory v adresári stromov, v ktorom bola povolená replikácie. Udalosti že môžete spúšťať replikáciu zahŕňať vytvorenie alebo odstránenie súboru, verzia zmeniť existujúci súbor alebo obnovenie povolení pre súbor alebo adresár. Tento článok popisuje príznaky, ktoré sa vyskytujú pri niektoré antivírusové programy, ktoré nie sú kompatibilné s FRS vykonávať sken vírusu na adresárov, ktoré hostí FRS replikuje súbory. Dodatočné symptómom patria:
  • Súbory adresára SYSVOL a DFS podielov sa replikujú nadmerne bez zjavné zmeny v súboroch v týchto množín replík.
  • Súbory môžu replikovať mimošpičkové hodín alebo k pravidelne sa vyskytujúce krát ak vírus sken sú naplánované na konkrétne časy, alebo Počas periód využitia nízke servera.
  • Počet súborov v adresári oddychové neustále rastie, snad vyprázdňovania niekedy po dokončení skenovania program vírusu, alebo po FRS harmonogram otvorí umožniť replikácie.
  • Počet súborov v adresári oddychové neustále rastie, ale nikdy vyprázdni ak nemožno replikovať zmeny po prúde partnerov buď kvôli sieťové pripojenie alebo nemožnosť procesu počet upravené súbory potrebujú replikácie.
  • Sieťový prenos medzi partnermi replikácie je náročné šírky pásma nadmerné siete a FRS je odhodlaná zodpovedný služba.
Jeden program, ktorý je známy obnoviť popisovače zabezpečenia počas Virus scan je Norton AntiVirus (NAV) verzie 7.0 a 7.5. Ostatné vírus kontrolu programy, ktoré meniť popisovače zabezpečenia počas vírus sken bude viesť k rovnaké príznaky.

DALSIE INFORMACIE

Služba replikácie súborov (FRS) monitoruje súborov NTFS denníky systému USN pre zmeny súborov a adresárov, ktoré sa vyskytujú v Replikovať FRS Sysvol a DFS stromov. Niektoré antivírusové pomôcky upraviť Popisovač zabezpečenia počas vírus skenuje. Popisovač zabezpečenia je atribút v súborový systém NTFS naformátovaná disky, ktorý definuje kto a aký typ prístup používatelia a skupiny majú súbory a adresáre.

FRS správne zaznamenáva zmeny do súboru a adresára v denníku NTFS USN a potom zaradí do frontu zmeny v jeho adresár pre replikáciu na všetkých priamych a tranzitívne následný partnerov. Následný partnerov sú tie počítače súčasťou systému DFS alebo SYSVOL replika set mať prichádzajúce pripojenie objekty z počítača, ktorý je odosielanie zmien na upravené súbory.

Vírus skenuje proti veľké replikujú FRS adresáre môže viesť k replikácii stovky MB alebo dokonca gigabajty stojí za súborov zakaždým skenovanie uskutočňuje. Počet a mieru upravené súbory potrebujú replikácie sa často stávajú neudržateľné, najmä ak vírus skenuje prebiehajú na viac ako jedného člena množiny replík adresára SYSVOL alebo DFS.

Zástupcovia z Symantec opísať NAV je modifikácia záruky Popisovač nasledujúcim spôsobom:
Počas kontroly, NAV ušetrí rôznych atribúty súboru (atribúty súboru, popisovača zabezpečenia GetFileSecurity, posledného prístupu a podobne) pred scan tak, že súbor možno obnoviť pôvodný stav. Niektoré z týchto atribútov vrátane popisovače zabezpečenia (SetFileSecurity) sa obnovia.

Pri replikácii v FRS volania Windows API SetFileSecurity obnoviť replikácie spúšťače popisovača zabezpečenia. Rovnaký efekt môžete duplikovať z Zabezpečenie na karte Windows Explorer poskytnutím používateľovi povolenia pre súbor na prístup k súboru a potom okamžite odstránenie právo prístupu.

Tento problém sa nevyskytuje, na všetky súbory, ale skôr na kontajner súborov, vrátane tých s príponami .exe, .doc, .ppt, .xls, .zip, .arc a .cab.

Zobrazenie denníka USN zmena dôvodov na FRS replikuje súbory

FRS debug denník súbory a súbory výstupného denníka FRS databázy záznam typ zmeny, ktoré iniciovala Replikácia súboru alebo adresár. Použiť túto metódu na určenie ak virus scan programy sú príčinou nadmerného FRS replikácie prevádzky vo vašom prostredí.

POZNÁMKA: V tomto článku príkladov ako hľadať podpríkazu debug logy z dôvodu zmeny.
  1. Zvýšenie FRS denníka ·rove? a vytrvalosť. Vykonáte to začať Editor databázy Registry, a potom v nasledovnom kľúči databázy registry
    HLKM\SYSTEM\CCS\Services\NTFRS\Parameters
    Nastavte nasledovné hodnoty:
    • "Debug maximálne denníka správ (REG_DWORD)" na 20000 desatinné (čiarka v položke databázy registry)
    • "Debug súbory denníka (REG_DWORD)" medzi 20 až 50 desatinný

      Denník ·rove? predvolené pre systém Windows 2000 2195 stavať a Service Pack 1 (SP1) uvoľnenie FRS je úroveň 4. Denník ·rove? predvolená pre SP2 a SP2 je rýchla verzia FRS úrovne 2. Vidieť "ContentCmd" reťazec v FRS debug prihlási, nastavte hodnotu "Debug denník závažnosti (REG_DWORD)" "4".
  2. Reštartujte službu a potom nechať ju bežať dostatočnej časové obdobie. Ak nenastavíte denníka ·rove? dostatočne vysoká, môže sa možnosť filtrovať na reťazec "UsnReason" v debug denníky vyhľadajte typu modifikácie, ktoré sa uskutočnili.
  3. Z príkazového riadka, zadajte nasledujúci príkazový riadok:
    CD /d % systemroot%\debug"
    TIP: Použitie Rozloženie na karte hárku vlastností príkaz nastaviť veľkosť okna, šírka, a výška prispôsobiť findstr výstup. Použiť približne 110 znakov pre šírku a 45 znaky alebo viac pri výške na rozlíšenie obrazovky 1024 X 768 zobraziť.
  4. Použitie findstr Ak chcete nájsť všetky výskyty reťazca "ContentCmd" v podpríkazu debug súbory denníka:
    c:\>findstr /i "ContentCmd" % systemroot%\debug\ntfrs_00?.denník
    Typ zmeny, ktoré sa uskutočnili na formátované v systéme NTFS oblasť zobrazí reťazec "ContentCmd" v denník ladenia. Súbory, ktoré boli upravené antivírusové programy zoznam "Zabezpečenie" ako dôvod zmeny. Podobne, šablóny zabezpečenia, ktoré sa použili manuálne alebo v skupinovej politike, ako rovnako ako správcovia, nastavenie povolení v programe Windows Prieskumník, tiež zobraziť "Bezpečnosť" ako dôvod zmeny.

    Tieto vzorky ilustruje výstup FRS ladenia denníky filtrované s frsstr príkaz:
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdDispatch:    ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdAccept:      ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
       <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
       <DbsWriteTableRecord:   S1:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
       <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
    					
  5. Ak je podozrenie nadmerné replikácie, pristúpiť k "Zotavuje z nadmerného replikácie" časti tohto článku.

FRS zmena dôvodov v FRS Debug a výstupných denníkov

Príznaky nastavené v denník ladenia NTFRS opísať modifikácie FRS replikuje súbory. FRS replikácie je založený na uzavretom súboroch na formátovaný NTFS 5.0 oddiely v replikujú FRS adresárov. Dôvody zmeny v replikujú FRS adresáre sú zobrazené v nasledujúcej tabuľke:
   Close	- Change log close record
   Create	- File or dir was created
   Delete	- File or dir was deleted
   RenNew	- File or dir was renamed
   DatOvrWrt	- Main file data stream was overwritten
   DatExt	- Main file data stream was extended
   DatTrunc	- Main file data stream was truncated
   Info		- Basic info change (attrib, last write time, and so forth)
   Oid		- Object Id change
   StreamNam	- Alternate data stream name change
   StrmOvrWrt	- Alternate data stream was overwritten
   StrmExt	- Alternate data stream was extended
   StrmTrunc	- Alternate data stream was truncated
   EAChg	- Extended file attribute was changed
   Security	- File access permissions changes
   IndexableChg	- File change requires re-indexing.
   HLink	- Hardlink change
   CompressChg	- File compression attribute changed
   EncryptChg	- File encryption changed
   Reparse	- Reparse point changed
				

Vyhnúť sa nadmerným replikácie antivírusový verejnoprospešnými službami

Môžete použiť nasledujúce kroky na zabránenie antivírusové programy z spôsobuje nadmerné replikácie adresárov, FRS monitorovať:
  1. Vylúčiť replikujú FRS adresárov z skenovanej základe antivírusové programy, ktoré spôsobiť nadmerné replikácie.
  2. Zaobstarať si aktualizované verzie NAV, ktoré umožnia vyhnúť sa meniace sa Popisovač zabezpečenia súborov.
  3. Konfigurovať zoznam priečinkov, ktoré sú cielené a vylúčené antivírusové programy definované v nasledujúcom článku databázy Knowledge Base:
    822158 Vírusov odporúčania Windows 2000 alebo na radiči domény Windows Server 2003

Zotavuje z nadmerného replikácie

Ak nadmerné replikácie z antivírusový program Vynulovanie popisovače zabezpečenia zistí, zvážte tieto akcie plán:
  1. Zastavte službu FRS členovia FRS replík generovanie nadmerné zmeny na zabránenie nedodělávky od zvyšovania
  2. Zastavte všetky programy, služby alebo administratívne postupy ktoré upravuje súborov a adresárov v replikujú FRS adresároch. Medzi potenciálne zdroje replikácie patria:
    1. Klient Microsoft Systems Management Server nainštalovaný na Radiče domény systému Windows 2000.
    2. Šablóny zabezpečenia obsahujú súbor systémovej politiky, uplatňovali manuálne alebo prostredníctvom skupinovej politiky organizačnej jednotky alebo materskej kontajnery, ktoré sú hosťovaní radiče domény systému Windows 2000 alebo replikujú DFS adresáre.
    3. Diskeeper sken proti replikujú FRS obsah.
    4. Antivírusový sken proti replikujú FRS obsah.
    5. Vírus programy vytváranie súborov v replikujú FRS adresáre.
  3. Identifikáciu serverov, ktoré majú veľké omeškania z zmeny

    Použite výstup sady ntfrsutl pomôcka príkazového riadka, ktoré je analyzovaný s CONNSTAT PERL skript Ak chcete zobraziť po prúde partnerov, ktorí majú veľké omeškania zmeny objednávky.
  4. Odstránenie alebo vypnutie pripojenia na následný partnermi.

    FRS služby stavia oddychové súborov a uloží zmeny objednávky v jeho odchádzajúce log pre všetky zmenené súbory, ktoré treba zaslať následný partnerov. Ťažobná partnerov udržanie oddychové súbory a zmeniť objednávok výstupného denníka do všetkých následných partnerov dostávať danej zmene.

    FRS služba odstráni súbory v adresári oddychové a jeho výstupného denníka pri odstránení objekt connection následných partnerovi alebo jeho pripojenie vypnuté; "enabledConnection" je atribút na Active Directory, SYSVOL, a objekty pripojení DFS, ktorý sa dá nastaviť na = true|false a že môže nastaviť v LDP alebo ADSIEDIT.

    Odstránenie objekty pripojení na aktívny SYSVOL a adresára je ľahká úloha, ako sú ľahko identifikovať a možno znova vytvorí v Active Directory Sites a modulu služby.
  5. Rozložiť vytváranie a/alebo umožňujúce pripojenia objekty.

Vlastnosti

ID článku: 284947 - Posledná kontrola: 24. októbra 2011 - Revízia: 2.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Kľúčové slová: 
kbproductlink kb3rdparty kbinfo kbmt KB284947 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem:284947

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com