防毒程式可能會修改安全性描述元,並導致過度複寫的 FRS 資料中 SYSVOL 和 DFS

文章翻譯 文章翻譯
文章編號: 284947 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

檔案複寫服務 (FRS) 是多執行緒、 多重主機複寫引擎,會取代 3] 中的 Lmrepl 服務 x 和 4.0 版本的 Microsoft Windows NT Microsoft Windows 2000 網域控制站與伺服器都使用 FRS 複寫系統原則及登入指令碼存放在 [系統磁碟區 (SYSVOL) Windows 2000 為基礎的用戶端及更早的版本。

FRS 也可以複寫檔案和目錄是相同的容錯分散式檔案系統 (DFS) 根目錄或連結複本的成員的 Windows 2000 基礎伺服器之間。

FRS 會啟始複寫已重新啟用複寫樹狀目錄中的 「 關閉 」 檔案上。可以觸發複寫的事件包括建立或刪除的檔案到現有的檔案的版本變更或重設檔案或目錄上的權限。本文將告訴您,當不是 FRS 相容某些防毒程式在裝載 FRS 複寫檔案的目錄上執行病毒掃描時,就會發生這些徵狀。 其他徵狀包括:
  • SYSVOL 與 DFS 共用的檔案會極複寫中那些複本集的檔案沒有明顯的變更。
  • 檔案可能會複寫在非尖峰時間,或在定期出現的次數,如果病毒掃描排程要在特定時間或低伺服器使用率期間發生。
  • 臨時目錄中的檔案數目不斷成長,或許有時清空病毒掃描程式完成之後,或之後 FRS 排程會開啟以允許進行複寫。
  • 不斷臨時目錄中的檔案數目的成長,但永遠不會清空 [如果無法複寫到下游協力電腦的變更,可能是因為網路連線或無法處理需要複寫的已修改檔案數目。
  • 複寫協力電腦之間的網路流量會耗用過多網路頻寬及 FRS 會決定將負責服務。
一個已知病毒掃描期間重設安全性描述元的程式是 7.0 和 7.5 Norton 防毒軟體 (導航) 版本。病毒掃描期間修改安全性描述元其他病毒檢查程式將會產生相同的徵狀。

其他相關資訊

檔案複寫服務 (FRS) 會監視 NTFS 檔案系統 USN 日誌,對檔案和目錄 FRS 複寫 Sysvol 和 DFS 樹狀結構中所發生的變更。某些防毒公用程式修改病毒掃描期間的安全性描述元。安全性描述元是定義誰,以及何種存取使用者 NTFS 格式化的磁碟機檔案系統中的屬性,而且群組必須的檔案和目錄。

FRS 正確 NTFS USN 日誌中會記錄修改檔案和目錄,然後再佇列中複寫給所有的直接及可轉移下游夥伴其階移目錄變更。 下游夥伴在 DFS 中的那些電腦或 SYSVOL 複本集具有來自電腦,將變更傳送輸入的連線物件修改的檔案。

病毒掃描,對大型的 FRS 複寫目錄可能會導致的百萬位元組 (MB) 為單位的數百或甚至 gigabytes 價值檔案複寫,每次掃描會發生。特別是當病毒掃描會花上多個 SYSVOL 或 DFS 複本集成員的位置,成為 unsustainable,數目和需要經常複寫已修改檔案的速率。

代表從 Symantec 描述導航的修改安全性描述元的方式如下:
在掃描期間導航會儲存之前掃描該檔案 (檔案屬性、 「 安全性描述元 GetFileSecurity、 上次存取時間戳記等等) 的各種屬性,讓檔案可以還原其原始的情況。有幾個這些屬性包括安全性描述元 (SetFileSecurity) 會還原。

FRS 複寫的情況下呼叫 Windows API SetFileSecurity 還原安全性描述元觸發程序複寫。相同的效果藉由授與使用者存取某個檔案的檔案使用權限,並立即移除存取權限從 Windows 檔案總管] 的 [安全性] 索引標籤中重複。

而所有的檔案而上而容器檔案包括那些具.exe、.doc、.ppt、.xls、.zip、.arc,以及.cab 副檔名,不會發生這個問題。

顯示上 FRS 複寫檔案的 USN 變更理由

FRS 偵錯記錄檔和輸出記錄檔的 FRS 資料庫記錄的起始檔案或目錄的複寫的變更類型。使用下列方法來判斷如果病毒掃描程式在您的環境中造成過多的 FRS 複寫流量。

注意: 本文中的範例說明如何進行搜尋的變更原因偵錯記錄檔。
  1. 增加 FRS 記錄詳細等級和 endurance。若要執行此動作啟動登錄編輯程式然後在下列登錄機碼
    HLKM\SYSTEM\CCS\Services\NTFRS\Parameters
    設定下列值:
    • 偵"錯最大記錄檔訊息 (REG_DWORD) 」 到 20000 小數 (在登錄項目沒有逗號)
    • 偵"錯記錄檔 (REG_DWORD)"20 到 50 個小數點之間

      預設記錄詳細等級為 Windows 2000 2195年組建和 Service Pack 1 (SP1) 發行是 FRS 的層級 4。預設記錄詳細等級對於 SP2 和 SP2 的 FRS 的 Hotfix 版本都是層級 2。若要查看 「 ContentCmd"記錄 FRS 偵錯中的字串,將 「 偵錯記錄嚴重性 (REG_DWORD) 」 值為 「 4 」。
  2. 重新啟動該服務,然後讓它執行一段足夠時間。如果沒有設定夠高記錄檔詳細等級可能能夠 UsnReason"字串,在偵錯記錄檔,找不到的修改中發生了類型進行篩選。
  3. 從命令提示字元中輸入下列命令行:
    cd/d %systemroot%\debug"
    提示: 使用命令屬性工作表的 [版面配置] 索引標籤來設定視窗大小、 寬度及高度,以容納 findstr 輸出。寬度和 45 字元使用大約 110 字元或更螢幕解析度為 1024 X 768 的高度的顯示。
  4. 使用 findstr 在偵錯記錄檔中找出 ContentCmd"字串的所有執行個體:
    c:\ > findstr/i ContentCmd"%systemroot%\debug\ntfrs_00 (??)。記錄檔
    發生在 NTFS 格式化的磁碟分割的變更的型別是 ContentCmd"字串,在偵錯記錄檔中所顯示。防毒程式已修改的檔案清單為變更原因的 < 安全性 >。 同樣地,安全性範本,手動套用或由群組原則,以及在 Windows 檔案總管] 中設定使用權限的系統管理員,也顯示為變更原因的 < 安全性 >。

    下列範例說明了一個 FRS 輸出偵錯記錄檔篩選 frsstr 命令:
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdDispatch:    ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdAccept:      ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]
       <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
       <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
       <DbsWriteTableRecord:   S1:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
       <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]
    					
  5. 如果懷疑過度複寫繼續進行本文的 < 從有太多的複寫復原 > 一節。

FRS 偵錯和輸出記錄檔中的 FRS 變更理由

在 NTFRS 偵錯記錄檔中設定的旗標描述 FRS 複寫檔案的修改。FRS 複寫 predicated 上位於 NTFS 5.0 格式化磁碟分割上 FRS 複寫目錄中的已關閉檔案。在 FRS 複寫目錄變更的原因會顯示在下表:
   Close	- Change log close record
   Create	- File or dir was created
   Delete	- File or dir was deleted
   RenNew	- File or dir was renamed
   DatOvrWrt	- Main file data stream was overwritten
   DatExt	- Main file data stream was extended
   DatTrunc	- Main file data stream was truncated
   Info		- Basic info change (attrib, last write time, and so forth)
   Oid		- Object Id change
   StreamNam	- Alternate data stream name change
   StrmOvrWrt	- Alternate data stream was overwritten
   StrmExt	- Alternate data stream was extended
   StrmTrunc	- Alternate data stream was truncated
   EAChg	- Extended file attribute was changed
   Security	- File access permissions changes
   IndexableChg	- File change requires re-indexing.
   HLink	- Hardlink change
   CompressChg	- File compression attribute changed
   EncryptChg	- File encryption changed
   Reparse	- Reparse point changed
				

避免過度複寫由防毒公用程式

您可以使用下列步驟以避免防毒程式導致過度複寫的 FRS 監視目錄:
  1. 排除 FRS 複寫目錄會導致過度複寫的防毒程式正在掃描。
  2. 取得避免變更檔案的安全性描述元的版本更新的導航。
  3. 設定資料夾的目標和排除由防毒程式,如下列 「 知識庫 」 文件中所定義的清單:
    822158病毒掃描建議在 Windows 2000 或 Windows Server 2003 網域控制站上

從過度複寫復原

如果發現過度複寫防毒程式重設安全性描述元的結果,請考慮下列動作計劃:
  1. 若要防止積存增加產生過多的變更的 FRS 複本集的成員上停止 FRS 服務
  2. 停止所有的程式、 服務或 FRS 複寫目錄中的檔案和目錄所修改的系統管理處理程序。 複寫的可能來源包括:
    1. 安裝在 Windows 2000 網域控制站上 Microsoft 系統管理伺服器用戶端。
    2. 安全性範本包含檔案系統原則 (以手動方式或由組織單位或 Windows 2000 網域控制站或 DFS 複寫目錄裝載的父容器的群組原則套用。
    3. diskeeper 會對 FRS 複寫內容掃描。
    4. 防毒軟體掃描對 FRS 複寫內容。
    5. 在 FRS 複寫目錄中建立檔案的病毒程式。
  3. 指出已變更的大型積存的伺服器

    您可以使用與 CONNSTAT PERL 指令碼的 ntfrsutl 設定 命令列公用程式會剖析輸出來檢視擁有大型積存的變更訂單的下游夥伴。
  4. 移除或停用連線到下游協力電腦。

    FRS 服務建置階移檔案並儲存區變更其輸出記錄檔中的 [訂單] 需要傳送到下游協力電腦的所有已修改檔案。上游協力電腦維護階移檔案,並變更輸出記錄檔中的訂單,直到所有下游協力電腦收到給定的變更。

    刪除臨時目錄中的檔案,FRS 服務並刪除其輸出記錄檔時要下游的協力電腦的連線物件或它的連線已停用 ; enabledConnection 」 是可設定的 Active Directory、 SYSVOL 及 DFS 連接物件的屬性為 = true|false 且,可以在 LDP 或 ADSIEDIT 中加以設定。

    Active Directory 及 SYSVOL 刪除連接物件是容易的工作,因為它們容易辨識,並可以重新建立在 Active Directory 站台及服務] 嵌入式管理單元。
  5. 錯開建立和/或啟用的連線物件。

屬性

文章編號: 284947 - 上次校閱: 2007年10月26日 - 版次: 6.4
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
關鍵字:?
kbmt kbproductlink kb3rdparty kbinfo KB284947 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:284947
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com