防病毒程序可能会修改安全描述符和 SYSVOL 和 DFS 会导致复制过多的 FRS 数据

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 284947
概要
文件复制服务 (FRS) 是一个多线程、 多主机复制引擎,用于替换 Lmrepl 服务在 3 个 x 和 4.0 版本的 Microsoft Windows NT 基于 Microsoft Windows 2000 的域控制器和服务器使用 FRS 复制驻留在该系统卷 (SYSVOL) 为基于 Windows 2000 的客户端以及更早版本的系统策略和 $ 登录脚本。

FRS 还可以复制文件和目录的成员相同的容错分布式文件系统 (DFS) 根或链接副本的基于 Windows 2000 的服务器之间。

FRS 启动上的"关闭"文件已在其中启用了复制的目录树的复制。可以触发复制的事件包括创建或删除一个的文件版本更改到现有文件或 $ 重置的对文件或目录的权限。本文介绍了某些不 FRS 兼容的防病毒程序对承载 FRS 复制文件的目录执行病毒扫描时,发生此症状。 其他症状包括:
  • 没有明显变化到中这些副本集的文件与过复制 SYSVOL 和 DFS 共享中的文件。
  • 文件可能会在非高峰的时间复制或在定期发生的时间,如果病毒扫描计划在特定的时间或较低的服务器利用率时出现。
  • 临时目录中的文件数不断增长,可能病毒扫描程序完成后,或 FRS 计划打开若要允许复制后,清空一段时间。
  • 不断地在临时目录中的文件数的增长,但永远不会清空 $ 如果是由于网络连接或 $ 无法处理的已修改的文件需要复制的不能在复制到下游伙伴的更改。
  • 复制伙伴之间的网络流量会消耗过多网络带宽和 FRS 是确定是负责的服务。
已知病毒扫描过程中重置安全描述符的某一程序是诺顿防病毒 (NAV) 版本 7.0 和 7.5。其他病毒扫描过程中修改的安全描述符的病毒检查程序将导致相同的症状。
更多信息
文件复制服务 (FRS) 监视在 NTFS 文件系统 USN 日志的文件和目录出现在 FRS 复制的 Sysvol 和 DFS 树中的更改。某些防病毒实用程序修改在病毒扫描过程中的安全描述符。安全描述符是文件系统中的 NTFS 格式化的驱动器定义谁和什么类型的访问用户的属性和组拥有对文件和目录。

FRS 正确记录 NTFS USN 日志中的修改文件和目录,然后复制到所有直接和可传递的下游伙伴其临时目录所做的更改进行排队。 下游伙伴是一个 DFS 中的那些计算机或 SYSVOL 副本集已从将更改发送计算机的入站的连接对象修改的文件。

每次发生一次扫描时,对较大的 FRS 复制目录的病毒扫描可能会导致数百个兆字节为单位或甚至千兆字节积累的文件的复制。数量和已修改的文件需要复制通常的速率成为 unsustainable,特别是当病毒扫描发生在多个 SYSVOL 或 DFS 副本集成员上。

赛门铁克的代表描述 NAV 的修改的安全描述符以下列方式:
在扫描过程中 NAV 将保存之前在扫描文件 (文件属性,该安全描述符 GetFileSecurity、 上次访问的时间戳等) 的各种属性,以便可以将文件还原到其原始条件。这些属性包括安全描述符 (SetFileSecurity) 的几个被还原。

在 FRS 复制的情况下调用 Windows API SetFileSecurity,若要还原安全描述符触发器复制。通过授予用户访问到一个文件的文件权限,然后立即删除访问权限,可以从 Windows 资源管理器的 安全 选项卡重复相同的效果。

对所有的文件,但上包括具有.exe、.doc、.ppt、.xls、.zip、.arc 和.cab 扩展名的容器文件而不会发生此问题。

显示在 FRS 复制的文件上的 USN 更改原因

FRS 调试日志文件和 $ 出站日志文件的 FRS 数据库记录的启动文件或目录的复制更改的类型。使用以下方法,如果病毒扫描程序,确定在您的环境中导致过多的 FRS 复制通信。

: 在这篇文章中的示例说明了如何搜索变更原因调试日志。
  1. 增加 FRS 日志的详细程度和耐用性。若要执行此操作启动注册表编辑器,然后在下面的注册表项
    HLKM\SYSTEM\CCS\Services\NTFRS\Parameters
    设置以下值,请执行下列操作:
    • 到 20000 十进制 (注册表项中没有逗号) 的"调试最大日志消息 (REG_DWORD)"
    • 20 到 50 个小数点之间的"调试日志文件 (REG_DWORD)"

      默认的日志详细程度,为 Windows 2000 的 2195年版本和 Service Pack 1 (SP1) 版本是 FRS 的级别 4。默认日志详细程度对于 SP2 和 SP2 的 FRS 的修复程序版本是 2 级。若要查看"ContentCmd"记录 FRS 调试中的字符串,将"调试日志严重性 (REG_DWORD)"值设置为"4"。
  2. 重新启动服务,然后让它为在足够的时间段内运行。如果未设置足够高,该日志的详细程度,您可以对"UsnReason"字符串,在调试日志中,以找到发生修改的类型进行筛选。
  3. 在命令提示符下键入以下命令行:
    cd/d %systemroot%\debug"
    提示: 使用 布局 选项卡上的命令属性表设置窗口的大小、 宽度,和高度以适应 findstr 输出。使用大约 110 字符的宽度和 45 个字符或更多的 1024 X 768 的屏幕分辨率的高度显示。
  4. 使用 findstr 调试日志文件中查找"ContentCmd"字符串的所有实例:
    c:\ > findstr/i"ContentCmd"%systemroot%\debug\ntfrs_00"。日志
    调试日志中将"ContentCmd"字符串显示在 ntfs 分区上发生的更改的类型。由防病毒程序修改的文件列表安全作为更改原因。 同样,安全模板应用了手动或通过组策略以及在 Windows 资源管理器中设置权限的管理员,还显示安全作为更改原因。

    下面的示例阐释了一个 FRS 的输出调试用 frsstr 命令筛选的日志:
       <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]   <ChgOrdDispatch:    ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]   <ChgOrdAccept:      ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]   <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]   <ChgOrdRetryWorker: ... S4:  hh:mm:ss>  ContentCmd:  80008800  Flags  [Close Info Security ]   <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]   <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]   <DbsWriteTableRecord:   S1:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]   <ChgOrdAccept:      ... S4:  00:24:37>  ContentCmd:  00008800  Flags  [Info Security ]					
  5. 如果怀疑复制过多,自动造成继续执行本文中的"恢复从过复制"部分。

在 FRS 调试和出站日志 FRS 更改原因

在 $ NTFRS 调试日志中设置的标志描述了对 FRS 复制文件所做的修改。FRS 复制被 predicated 上已关闭的文件位于 NTFS 5.0 格式化分区,FRS 复制目录中。下表中显示原因的 FRS 复制目录中的更改:
   Close	- Change log close record   Create	- File or dir was created   Delete	- File or dir was deleted   RenNew	- File or dir was renamed   DatOvrWrt	- Main file data stream was overwritten   DatExt	- Main file data stream was extended   DatTrunc	- Main file data stream was truncated   Info		- Basic info change (attrib, last write time, and so forth)   Oid		- Object Id change   StreamNam	- Alternate data stream name change   StrmOvrWrt	- Alternate data stream was overwritten   StrmExt	- Alternate data stream was extended   StrmTrunc	- Alternate data stream was truncated   EAChg	- Extended file attribute was changed   Security	- File access permissions changes   IndexableChg	- File change requires re-indexing.   HLink	- Hardlink change   CompressChg	- File compression attribute changed   EncryptChg	- File encryption changed   Reparse	- Reparse point changed				

避免过复制由防病毒实用程序

您可以使用以下步骤来防止防病毒程序导致复制过多的 FRS 监视目录:
  1. 排除在被扫描的防病毒程序导致复制过多的 FRS 复制目录。
  2. 获取 NAV 的更新的版本,应避免更改文件的安全描述符。
  3. 配置目标和排除的防病毒程序,如下面的知识库文章中所定义的文件夹的列表,请执行以下操作:
    822158病毒扫描建议在 Windows 2000 或 Windows Server 2003 的域控制器上

从过复制恢复

如果发现的复制过多防病毒程序重置安全描述符的结果,请考虑以下的行动计划:
  1. 要防止待办工作量增加的生成过多更改 FRS 副本集成员上停止 FRS 服务
  2. 停止所有程序、 服务,或管理的进程正在修改 FRS 复制目录中的文件和目录的。 复制的潜在来源包括:
    1. Microsoft 系统管理服务器客户端安装在 Windows 2000 域控制器上。
    2. 安全模板包含文件系统策略手动或通过组织单位或承载 Windows 2000 域控制器或 $ DFS 复制目录的父容器的组策略应用的。
    3. diskeeper 扫描对照 FRS 复制内容。
    4. 防病毒软件扫描对照 FRS 复制内容。
    5. FRS 复制目录中创建文件的病毒程序。
  3. 确定具有较大的更改的积压作业的服务器

    若要查看具有复制更改顺序的大型积压作业的下游伙伴使用 CONNSTAT PERL 脚本的 ntfrsutl 设置 命令行实用程序分析得到的输出。
  4. 删除或禁用到下游伙伴连接。

    FRS 服务生成临时文件,并存储更改其出站日志中所有已修改的文件需要发送到下游伙伴的订单。上游伙伴维护临时文件,并更改出站日志中的订单,直到所有下游伙伴收到了给定的更改。

    FRS 服务删除临时目录中的文件和其出站日志时要下游伙伴的连接对象将被删除或其连接被禁用 ;"enabledConnection"是一个属性的 Active Directory、 SYSVOL 和 DFS 连接对象的可设置为 = true | false,并且可以在 LDP 或 ADSIEDIT 中进行设置。

    Active Directory 和 SYSVOL 删除连接对象是一个方便的任务,因为它们很容易地标识,可以在 Active Directory 站点中重新创建和服务管理单元。
  5. 错开创建和/或启用的连接对象。

警告:本文已自动翻译

属性

文章 ID:284947 - 上次审阅时间:10/26/2007 20:34:43 - 修订版本: 6.4

Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server

  • kbmt kbproductlink kb3rdparty kbinfo KB284947 KbMtzh
反馈