Al momento sei offline in attesa che la connessione Internet venga ristabilita

Il tuo browser non è supportato

Devi aggiornare il browser per usare il sito.

Esegui l'aggiornamento all'ultima versione di Internet Explorer

Programmi antivirus possono modificare i descrittori di protezione e causare un numero eccessivo di dati FRS di repliche SYSVOL e DFS

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell’utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell’utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 284947
Sommario
Il servizio Replica File (FRS) è un motore di replica multimaster multithread che sostituisce il servizio Lmrepl nel 3. x e 4.0 versioni di Microsoft controller di dominio Microsoft Windows 2000 in Windows NT e i server utilizzano il FRS per replicare criteri di sistema e accesso gli script che risiedono nel volume di sistema (SYSVOL) per i client basati su Windows 2000 e versioni precedenti.

FRS consente anche di replicare file e directory tra i server basati su Windows 2000 che sono membri delle stesse a tolleranza d ' errore file system distribuito (DFS) directory principale o collegamento repliche.

FRS avvia la replica su "chiuso" file in strutture di directory in cui replica è stata abilitata. Gli eventi che attivano la replica include la creazione o la eliminazione di un file, la modifica di versione di un file esistente o la reimpostazione delle autorizzazioni su un file o directory. Questo articolo viene descritto i sintomi che si verificano quando alcuni programmi antivirus non sono compatibili con FRS eseguono analisi di virus nelle directory che i file replicati da FRS di host. Ulteriori sintomi includono:
  • I file in condivisioni SYSVOL e DFS vengono replicati eccessivamente senza variazioni visibili ai file in tali set di repliche.
  • I file potrebbe essere replicati in orari e regolarmente volte che si verificano se esegue la scansione antivirus sono pianificati a orari specifici o durante i periodi di utilizzo del server insufficiente.
  • Il numero di file nella directory dell'area di gestione temporanea costantemente aumenta, ad esempio svuotare un giorno imprecisato al termine il programma di scansione antivirus o dopo la pianificazione di FRS viene aperta per consentire la replica.
  • Il numero di file nella directory dell'area di gestione temporanea costantemente aumenta, ma non si svuota se le modifiche ai partner downstream non possono essere replicate a causa di connettività di rete o l'impossibilità di elaborare il numero di file modificati che richiedono di replica.
  • Traffico di rete tra partner di replica utilizza eccessiva larghezza di banda e di FRS è determinato dal servizio responsabile.
Uno dei programmi che reimposta i descrittori di protezione durante la ricerca di virus è Norton AntiVirus (NAV) versioni 7.0 e 7.5. Altri programmi di controllo di virus che modificano i descrittori di protezione durante l'analisi di virus comporta gli stessi sintomi.
Informazioni
Il servizio Replica File (FRS) consente di monitorare le registrazioni di USN sistema file NTFS per file e directory che si verificano in strutture di SYSVOL replicati da FRS e DFS modifiche. Alcune utilità antivirus consente di modificare il descrittore di protezione durante l'analisi di virus. Un descrittore di protezione è un attributo nel file system di unità formattate NTFS che definisce gli utenti e il tipo di utenti e gruppi devono file e directory.

FRS correttamente registra la modifica del file e directory nel diario NTFS USN e quindi accoda la modifica nella relativa directory dell'area di gestione temporanea per la replica tutti i partner downstream diretti e transitivi. Partner downstream sono quelli in un DFS o repliche SYSVOL impostata che sono oggetti di connessione in ingresso da un computer che invia le modifiche modificati i file.

Analisi di virus in directory replicate di FRS di grandi dimensioni potrebbero causare la replica di centinaia di megabyte o anche patrimonio di gigabyte di file ogni volta che una scansione viene eseguita. Il numero e la velocità di file modificati che richiedono spesso replica diventano un unsustainable, in particolare quando scansioni antivirus vengono eseguite su più di un membro di un set di repliche SYSVOL o DFS.

I rappresentanti di Symantec descrivono modificare di NAV il descrittore di protezione nel modo seguente:
Durante un'analisi NAV salverà vari attributi del file (attributi di file, il descrittore di protezione GetFileSecurity, l'ultimo timestamp accesso e così via) prima dell'analisi in modo che il file possa essere ripristinato allo stato originario. Numerosi di questi attributi, inclusi i descrittori di protezione (SetFileSecurity) vengono ripristinati.

In caso di replica di FRS, chiamata SetFileSecurity l'API di Windows per ripristinare la replica di trigger del descrittore di protezione. Lo stesso effetto è possibile duplicare dalla scheda protezione di Windows Explorer concessione di autorizzazioni file per accedere a un file a un utente, e quindi immediatamente rimuovendo l'accesso a destra.

Questo problema non si verifica in tutti i file, ma piuttosto nel file contenitore, compresi quelli con exe, doc, ppt, xls, con estensione zip, .ARC e CAB estensioni.

Visualizzazione di modifica USN motivi in file replicati da FRS

File di registro di debug FRS e i file di registro in uscita di FRS il record il tipo di modifica che viene avviata la replica di un file o una directory del database. Utilizzare il metodo riportato di seguito per determinare se la ricerca di virus programmi stanno rallentando l'eccessivo traffico di replica di FRS nell'ambiente in uso.

Nota : negli esempi riportati in questo articolo viene illustrato come cercare i registri di debug per il motivo della modifica.
  1. Aumentare dettaglio del log di FRS ed endurance. Per effettuare questa operazione, avviare l'editor del Registro di sistema, quindi nella seguente chiave del Registro di sistema
    HLKM\SYSTEM\CCS\Services\NTFRS\Parameters
    impostare i seguenti valori:
    • "Debug Maximum Log messaggi (REG_DWORD)" per 20000 decimale (senza punto e virgola nella voce del Registro di sistema)
    • "Debug dei file di registro (REG_DWORD)" tra decimale 20 a 50

      Il livello di registro predefinito per la build 2195 di Windows 2000 e il rilascio del Service Pack 1 (SP1) di FRS dettaglio è di livello 4. Il livello di dettaglio registro predefinito per il SP2 e SP2 versione di aggiornamento rapido (hotfix) di FRS è livello 2. Per visualizzare "ContentCmd" registri di stringa per il debug di FRS, impostare il valore di "Debug Log Severity (REG_DWORD)" su "4".
  2. Riavviare il servizio e lasciare che viene eseguito per un periodo di tempo sufficiente. Se non si imposta il livello di dettaglio registro sufficientemente elevato, è possibile filtrare i registri di debug per individuare il tipo di modifica che ha avuto luogo la stringa "UsnReason".
  3. Da un prompt dei comandi, digitare la seguente riga di comando:
    cd /d % systemroot%\debug "
    Suggerimento : utilizzare scheda layout della finestra delle proprietà di comando per impostare dimensioni della finestra, larghezza e altezza per contenere l'output di findstr . Utilizzare circa 110 caratteri per larghezza e caratteri di 45 o più per altezza su una risoluzione dello schermo di 1024 X 768 visualizzare.
  4. Utilizzare findstr per individuare tutte le istanze della stringa "ContentCmd" nei file di registro debug:
    c:\ > findstr /i "ContentCmd" % systemroot%\debug\ntfrs_00??.Registro
    Il tipo di modifica che ha avuto luogo nella partizione NTFS viene visualizzato dalla stringa "ContentCmd" nel Registro di debug. I file che sono stati modificati da programmi antivirus elencati "Protezione" come il motivo della modifica. Analogamente, modelli di protezione che sono stati applicati manualmente o da criteri di gruppo, nonché gli amministratori di impostare autorizzazioni in Esplora risorse, visualizzare anche "Protezione" come il motivo della modifica.

    Nell'esempio seguente viene illustrato l'output di un FRS debug log filtrati tramite il comando frsstr :
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]   <ChgOrdDispatch:    ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]   <ChgOrdAccept:      ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]   <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]   <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]   <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]   <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]   <DbsWriteTableRecord:   S1:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]   <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]					
  5. Se si sospetta un numero eccessivo di replica, passare alla sezione "Ripristino di replica eccessiva" in questo articolo.

Motivi di modifica di FRS nei registri in uscita e di debug di FRS

I flag impostati nel Registro di debug di NTFRS vengono descritte le modifiche ai file replicati da FRS. Replica FRS viene effettuata sui file chiusi residenti su partizioni formattate con NTFS 5.0 nelle directory replicate di FRS. I motivi delle modifiche nella directory replicate di FRS sono visualizzati nella tabella seguente:
   Close	- Change log close record   Create	- File or dir was created   Delete	- File or dir was deleted   RenNew	- File or dir was renamed   DatOvrWrt	- Main file data stream was overwritten   DatExt	- Main file data stream was extended   DatTrunc	- Main file data stream was truncated   Info		- Basic info change (attrib, last write time, and so forth)   Oid		- Object Id change   StreamNam	- Alternate data stream name change   StrmOvrWrt	- Alternate data stream was overwritten   StrmExt	- Alternate data stream was extended   StrmTrunc	- Alternate data stream was truncated   EAChg	- Extended file attribute was changed   Security	- File access permissions changes   IndexableChg	- File change requires re-indexing.   HLink	- Hardlink change   CompressChg	- File compression attribute changed   EncryptChg	- File encryption changed   Reparse	- Reparse point changed				

Evitare la replica eccessiva dall'utilità antivirus

È possibile utilizzare la procedura seguente per impedire che i programmi antivirus causa di un numero eccessivo di monitoraggio di FRS di directory di repliche:
  1. Escludere le directory replicate di FRS dall'analisi da programmi antivirus che generano la replica eccessiva.
  2. Consente di ottenere le versioni aggiornate di NAV evitare di modificare il descrittore di protezione dei file.
  3. Configurare l'elenco delle cartelle di destinazione e esclusi da programmi antivirus, come definito nell'articolo della Knowledge Base riportato di seguito:
    822158Antivirus raccomandazioni su Windows 2000 o su un controller di dominio Windows Server 2003

Ripristino di replica eccessiva

Se viene rilevato un numero eccessivo di repliche come risultato di un programma antivirus reimpostazione descrittori di protezione, è necessario considerare il seguente piano di azione:
  1. Interrompere il servizio FRS i membri del set di repliche FRS generazione di un numero eccessivo di modifiche per impedire il backlog di aumento
  2. Interrompere i programmi, servizi o i processi amministrativi che si siano modificando il file e directory nelle directory replicate di FRS. Le origini potenziali di replica includono:
    1. Client Microsoft Systems Management Server installato in Windows 2000 domain controller.
    2. Modelli di protezione contenente i criteri dei file di sistema che vengono applicati manualmente o mediante criteri di gruppo per l'unità organizzative o contenitori padre che ospitano i controller di dominio di Windows 2000 o di directory replicate da DFS.
    3. Esegue la scansione Diskeeper contro il contenuto replicato da FRS.
    4. Esegue la scansione antivirus contro il contenuto replicato da FRS.
    5. Programmi antivirus creazione di file nelle directory replicate di FRS.
  3. Identificare i server che dispongono di grandi dimensioni backlog delle modifiche

    Utilizzare l'utilità della riga di comando ntfrsutl sets viene analizzato l'output con lo script PERL CONNSTAT per visualizzare partner downstream che dispongono di grandi dimensioni backlog degli ordini di modifica.
  4. Rimuovere o disattivare le connessioni ai partner downstream.

    Il servizio Replica file genera file dell'area di gestione temporanea e archivi di modificare gli ordini nel relativo registro in uscita per tutti i file modificati che devono essere inviati ai partner downstream. I partner upstream mantengono i file dell'area di gestione temporanea e modificare gli ordini nella registrazione in uscita fino a quando tutti i partner downstream visualizzato una determinata modifica.

    Il servizio Replica file Elimina file nella directory di staging e viene eliminato il log in uscita quando la connessione oggetto per il partner downstream o la connessione è disattivata; "enabledConnection" è un attributo per oggetti di connessione di Active Directory, SYSVOL e DFS può essere impostata su = true|false e che l'opzione possono essere impostate in LDP o ADSIEDIT.

    L'eliminazione di oggetti connessione per Active Directory e SYSVOL è un'attività semplice, in essi sono facilmente identificabili e sarà possibile ricreare in Active Directory Sites e snap-in.
  5. Scaglionare la creazione e/o l'abilitazione di oggetti di connessione.

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 284947 - Ultima revisione: 10/26/2007 20:34:43 - Revisione: 6.4

  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • kbmt kbproductlink kb3rdparty kbinfo KB284947 KbMtit
Feedback
mp;t=">gif?DI=4050&did=1&t=">.appendChild(m);" src="http://c1.microsoft.com/c.gif?"> >>ascript' src='" + (window.location.protocol) + "//c.microsoft.com/ms.js'><\/script>");