Você está offline; aguardando reconexão

Programas antivírus podem modificar descritores de segurança e causar replicação excessiva de dados de FRS no SYSVOL e do DFS

O suporte para o Windows Server 2003 termina em 14 de julho de 2015.

A Microsoft terminou o suporte para o Windows Server 2003 em 14 de julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Saiba o que isto significa para você e como permanecer protegido.

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 284947
Sumário
O serviço de duplicação de arquivos (FRS) é um mecanismo de replicação multithread, vários mestres que substitui o serviço Lmrepl no 3. x e as 4.0 versões do Microsoft Windows NT. controladores de domínio com Microsoft Windows 2000 e servidores usam o FRS para replicar a diretiva de sistema e logon os scripts que residem no sistema volume (SYSVOL) para clientes baseados no Windows 2000 e versões anteriores.

FRS também pode duplicar arquivos e diretórios entre servidores baseados no Windows 2000 que são membros do mesmos tolerantes a falhas DFS (sistema de arquivos distribuídos) raiz ou link réplicas.

FRS inicia a replicação em arquivos "fechado" em árvores de diretório em que a replicação foi ativada. Eventos que podem disparar a duplicação incluem a criação ou exclusão de um arquivo, uma alteração de versão para um arquivo existente, ou a redefinição de permissões em um arquivo ou pasta. Este artigo descreve os sintomas que ocorrem quando alguns programas antivírus que não são compatíveis com o FRS executa verificações de vírus em diretórios que hospedam arquivos replicados FRS. Sintomas adicionais incluem:
  • Os arquivos em compartilhamentos SYSVOL e do DFS são replicados excessivamente aparente sem alterar os arquivos desses conjuntos de réplicas.
  • Arquivos podem replicar em pico ou nas regularmente vezes que ocorre se verificações de vírus estão programados para ocorrer em horários específicos, ou durante períodos de servidor baixa utilização.
  • O número de arquivos no diretório temporário constantemente cresce, talvez esvaziar um dia após o programa de verificação de vírus, ou após o agendamento de FRS abre para permitir a replicação.
  • O número de arquivos no diretório temporário constantemente aumenta, mas nunca esvazia se alterações parceiros inferiores não podem ser replicadas por causa de conectividade de rede ou incapacidade de processar o número de arquivos modificados necessidade de replicação.
  • Tráfego de rede entre parceiros de duplicação está consumindo excessiva largura de banda e o FRS é determinado ser o serviço responsável.
Um programa que é conhecido para redefinir os descritores de segurança durante a verificação de vírus é NAV (Norton AntiVirus) versões 7.0 e 7.5. Outros programas de verificação de vírus que modificar descritores de segurança durante a verificações de vírus resultará nos mesmos sintomas.
Mais Informações
A replicação FRS (serviço) monitora os diários de USN NTFS sistema de arquivo para alterações aos arquivos e diretórios que ocorrem em árvores replicado por FRS SYSVOL e do DFS. Alguns utilitários antivírus modificar o descritor de segurança durante a verificações de vírus. Um descritor de segurança é um atributo no sistema de arquivo de unidades formatadas para NTFS que define quem e o tipo de usuários de acesso e grupos têm de arquivos e diretórios.

FRS registra corretamente a modificação para o arquivo e o diretório no diário USN NTFS e filas, em seguida, a alteração no seu diretório temporário para replicação para todos os parceiros inferiores diretos e transitivas. Parceiros inferiores são esses computadores em um DFS ou conjunto de réplicas SYSVOL que tem objetos de conexão de entrada de um computador que está enviando alterações arquivos modificados.

Verificações de vírus contra grandes diretórios replicado por FRS podem resultar na duplicação de centenas de megabytes ou até mesmo gigabytes importância dos arquivos sempre que uma verificação ocorre. O número e a taxa de arquivos modificados necessidade de replicação geralmente se tornam unsustainable, especialmente quando verificações de vírus estão ocorrendo em mais de um membro de um conjunto de réplicas SYSVOL ou DFS.

Representantes da Symantec descrevem a modificação do NAV do descritor de segurança da seguinte maneira:
Durante uma verificação, NAV irá salvar vários atributos de arquivo (atributos de arquivo, o descritor de segurança GetFileSecurity, último carimbo de data/hora do acesso e assim por diante) antes da verificação para que o arquivo pode ser restaurado para sua condição original. Vários desses atributos, incluindo os descritores de segurança (SetFileSecurity) serão restaurados.

No caso de replicação do FRS, chamando o SetFileSecurity de API do Windows para restaurar a replicação de disparadores de descritor de segurança. O mesmo efeito pode ser duplicado na guia segurança do Windows Explorer conceder permissões de arquivo para acesso a um arquivo de um usuário e, em seguida, removendo imediatamente o acesso à direita.

Esse problema não ocorre em todos os arquivos, mas em vez disso, em arquivos de contêiner, incluindo aqueles com .exe, .doc, .ppt, .xls, .zip, .ARC e extensões do CAB.

Exibir motivos de alteração do USN em arquivos replicado por FRS

Os arquivos de log de depuração do FRS e os arquivos de saída de log do FRS banco de dados registro o tipo de alteração que iniciou a replicação de um arquivo ou pasta. Use o método seguinte para determinar se os programas de verificação de vírus estão causando um tráfego de replicação FRS excessivo em seu ambiente.

Observação : os exemplos neste artigo ilustram como pesquisar os logs de depuração por motivo de alteração.
  1. Aumenta a verbosidade do log de FRS e endurance. Para fazer isso, inicie o Editor do Registro e em seguida, na seguinte chave do registro
    HLKM\SYSTEM\CCS\Services\NTFRS\Parameters
    Defina os seguintes valores:
    • "Como depurar mensagens de log máximo (REG_DWORD)" para 20000 decimal (nenhuma vírgula na entrada do Registro)
    • "Depurar arquivos de log (REG_DWORD)" entre 20 a 50 decimal

      A verbosidade do log padrão para a compilação 2195 do Windows 2000 e o lançamento do Service Pack 1 (SP1) do FRS é nível 4. A verbosidade do log padrão para o SP2 e SP2 versão de hotfix do FRS é nível 2. Para ver o "ContentCmd" os logs de seqüência de caracteres na depuração do FRS, defina o valor "Debug a gravidade log (REG_DWORD)" como "4".
  2. Reinicie o serviço e deixe ele seja executado por um suficiente período de tempo. Se você não definir a verbosidade do log alta o suficiente, talvez você possa filtrar na seqüência de caracteres "UsnReason" nos logs de depuração para localizar o tipo de modificação que ocorreram.
  3. Em um prompt de comando, digite a seguinte linha de comando:
    cd /d % systemroot%\debug "
    Dica : usar a guia layout da folha de propriedades comando para definir tamanho da janela, largura e altura para acomodar findstr saída. Usar aproximadamente 110 caracteres para largura e 45 caracteres ou mais para altura em uma resolução de tela de 1024 X 768 exibir.
  4. Use o findstr para localizar todas as instâncias da seqüência de caracteres "ContentCmd" nos arquivos de log de depuração:
    c:\ > findstr /i "ContentCmd" % systemroot%\debug\ntfrs_00??.log
    O tipo de alteração que ocorreu na partição formatado com o NTFS é exibido pela seqüência de caracteres "ContentCmd" no log de depuração. Arquivos que foram modificados por programas antivírus listam "Segurança" como o motivo da alteração. Da mesma forma, modelos de segurança que foram aplicados manualmente ou por diretiva de grupo, bem como os administradores de definir permissões no Windows Explorer, também mostram "Segurança" como o motivo da alteração.

    O exemplo a seguir ilustra a saída de um FRS filtrados com o comando frsstr logs de depuração:
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]   <ChgOrdDispatch:    ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]   <ChgOrdAccept:      ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]   <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]   <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]   <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]   <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]   <DbsWriteTableRecord:   S1:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]   <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]					
  5. Se suspeita de replicação excessiva, vá para a seção "Recuperando de excessiva replicação" neste artigo.

Alterar FRS motivos na depuração do FRS e logs de saída

Sinalizadores que são definidos no log de depuração do NTFRS descrevem modificações em arquivos replicados FRS. Duplicação FRS é vinculada no fechado arquivos residentes em partições formatadas por NTFS 5.0 em diretórios replicado por FRS. As razões para alterações no replicado por FRS pastas são exibidas na tabela a seguir:
   Close	- Change log close record   Create	- File or dir was created   Delete	- File or dir was deleted   RenNew	- File or dir was renamed   DatOvrWrt	- Main file data stream was overwritten   DatExt	- Main file data stream was extended   DatTrunc	- Main file data stream was truncated   Info		- Basic info change (attrib, last write time, and so forth)   Oid		- Object Id change   StreamNam	- Alternate data stream name change   StrmOvrWrt	- Alternate data stream was overwritten   StrmExt	- Alternate data stream was extended   StrmTrunc	- Alternate data stream was truncated   EAChg	- Extended file attribute was changed   Security	- File access permissions changes   IndexableChg	- File change requires re-indexing.   HLink	- Hardlink change   CompressChg	- File compression attribute changed   EncryptChg	- File encryption changed   Reparse	- Reparse point changed				

Evitando replicação excessiva por utilitários antivírus

Você pode usar as seguintes etapas para impedir que programas antivírus causando replicação excessiva de pastas monitoradas FRS:
  1. Exclua diretórios replicado por FRS de ser verificado por programas antivírus que causam replicação excessiva.
  2. Obter as versões atualizadas do NAV, evite alterar o descritor de segurança de arquivos.
  3. Configure a lista de pastas que são direcionadas e excluídos por programas antivírus, conforme definido no seguinte artigo da Base de dados de Conhecimento:
    822158Antivírus recomendações em um Windows 2000 ou em um controlador de domínio do Windows Server 2003

Recuperação de replicação excessiva

Se for descoberta replicação excessiva como resultado de um programa antivírus redefinindo descritores de segurança, considere o seguinte plano de ação:
  1. Pare o serviço FRS em membros de conjuntos de réplicas FRS gerar alterações excessivas para impedir que a lista de pendências aumentando
  2. Pare de programas, serviços ou processos administrativos que estão modificando arquivos e pastas em pastas replicadas de FRS. Fontes potenciais de replicação incluem:
    1. Cliente do Microsoft Systems Management Server instalado em controladores de domínio do Windows 2000.
    2. Modelos de segurança que contém o arquivo de diretiva do sistema que são aplicados manualmente ou pela diretiva de grupo para a unidades organizacionais ou recipientes pai que hospedam controladores de domínio do Windows 2000 ou pastas duplicados DFS.
    3. Diskeeper verifica contra conteúdo replicado por FRS.
    4. Antivírus examina contra conteúdo replicado por FRS.
    5. Programas de antivírus criando arquivos em diretórios replicado por FRS.
  3. Identificar os servidores que têm backlogs grandes de alterações

    Use a saída do utilitário de linha de comando ntfrsutl define que é analisado com o script PERL CONNSTAT para exibir parceiros inferiores que têm grandes backlogs de pedidos de alteração.
  4. Remova ou desative as conexões para parceiros inferiores.

    O serviço FRS cria arquivos de teste e armazenamentos de alterar ordens em seu log de saída para todos os arquivos modificados que precisam ser enviadas aos parceiros downstream. Parceiros superiores mantêm arquivos e alterar ordens no log de saída até que todos os parceiros inferiores recebem uma determinada alteração.

    O serviço FRS exclui arquivos no diretório temporário e seu log de saída quando a conexão de objeto para o parceiro downstream é excluído ou sua conexão está desabilitada; "enabledConnection" é um atributo no Active Directory, o SYSVOL e o DFS objetos de conexão que podem ser definidas para = true|false e que pode ser definida no LDP ou ADSIEDIT.

    Excluir objetos de conexão para o Active Directory e SYSVOL é uma tarefa fácil como eles são facilmente identificados e podem ser recriados em sites do Active Directory e snap-in Serviços.
  5. Escalonar a criação e/ou permitindo de objetos de conexão.

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 284947 - Última Revisão: 10/26/2007 20:34:43 - Revisão: 6.4

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server

  • kbmt kbproductlink kb3rdparty kbinfo KB284947 KbMtpt
Comentários
dy>l>