Mir ist aufgefallen, dass mein Webserver, 2008 Xen VM, allmählich freien Speicherplatz verliert - mehr, als ich bei normaler Verwendung erwartet hätte, und ich beschloss, dies zu untersuchen.
Es gibt zwei Problembereiche:
*C:\Users\Administrator\ (6,755.0 MB)*
with files:
NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf
UND
C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)
with files
UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf
Soweit ich weiß, handelt es sich hierbei um zeitgerechte Sicherungen von Registrierungsänderungen. Wenn das der Fall ist, kann ich unmöglich verstehen, warum es mehr als 10000 Änderungen geben würde. (Das ist die Anzahl der Dateien pro Ordner, insgesamt über 20.000 pro Ordner.)
Die Dateien belegen fast 15 GB Speicherplatz und ich möchte sie entfernen. Ich frage mich nur, ob ich sie entfernen kann. Ich muss jedoch verstehen, warum sie erstellt werden, damit ich dies in Zukunft vermeiden kann.
Irgendwelche Ideen, warum es so viele geben würde? Kann ich überprüfen, welche Änderungen vorgenommen wurden?
- Werden sie mit Anmeldeversuchen erstellt?
- Werden sie in Bezug auf die tägliche Verwendung von Webservern erstellt?
- usw. und so weiter
Antworten:
Es handelt sich nicht um Sicherungskopien von Registrierungsänderungen, sondern vielmehr um Änderungen an der Registrierung, bevor sie zu Änderungen an der Registrierung werden. Ein
.tmp
Dateityp für Registrierungsänderungen.Zum Schutz vor Registrierungsbeschädigung, die in Windows ein recht häufiges und sehr unangenehmes Problem war, schreiben Sie die angeforderte Änderung in eine Datei, bevor Sie etwas unternehmen. Dies gilt insbesondere für neuere Versionen von Windows, wenn eine Änderung an der Registrierung erforderlich ist. (Bei Änderungen in der Benutzerstruktur haben diese Dateien die Form von
NTUSER.DAT{GUID}.TMContainer####################.regtrans-ms
und werden fortlaufend nummeriert. Gehen Sie weit genug zurück und Sie sollten eine00000000000000000001
Datei sehen.) Sobald Windows festgestellt hat, dass es "sicher" ist, die Änderung in die Registrierung zu schreiben, wird diese gespeichert Anschließend wird überprüft, ob die Änderung vorgenommen wurde. Zu diesem Zeitpunkt wird die Datei gelöscht und es werden andere Betriebssystemaufgaben ausgeführt. Wenn etwas in diesem Prozess fehlschlägt, sammeln Sie diese Dateien an.Und offensichtlich funktioniert in Ihrem Fall irgendwo in diesem Prozess etwas nicht richtig. Ich wette, dass Sie beim Durchsuchen des Servers
Event Logs
eine ganze Menge Fehler in Form von Ereignissen sehen, bei denen die Registrierung gesperrt ist oder keine Änderungen an der Registrierung vorgenommen werden können. (Wahrscheinlich nach dem Vorbild vonUnable to open registry for writing
oderFailed to update system registry
). Dies können Hinweise auf schwerwiegende Probleme sein oder Hinweise darauf, dass einige PITA-Programme bei jedem Start eine Änderung in die Registrierung schreiben möchten und keine Berechtigung haben.Es besteht auch die geringere Wahrscheinlichkeit, dass die Änderungen geschrieben werden, die Dateien jedoch nicht gelöscht werden können, wie dies der Fall wäre, wenn das Sperrhandle für die Dateien nicht ordnungsgemäß beendet wird oder wenn
SYSTEM
Schreibberechtigung vorliegt, aber keine Löschberechtigungen für vorhanden sind diese Ordnerpositionen.Es kann hilfreich sein, die Quelle ausfindig zu machen, um eine schnelle MD5-Summe (oder eine ähnliche) dieser Dateien zu erstellen, um festzustellen, ob sie alle oder größtenteils identisch sind (was darauf hinweist, dass dieselbe Änderung nicht immer wieder in die Registrierung geschrieben werden kann). oder wenn es viele Variationen gibt, die eher auf ein ernstes Problem hinweisen - dass die Registrierung nicht von vielen Prozessen beschrieben werden kann oder dass die fraglichen Benutzerprofile beschädigt sind.
Sobald Sie sie fertig sind die Analyse, eine dieser
.blf
oder.regtrans-ms
Dateien , die vor dem letzten Systemstart erstellt wurden , können sicher gelöscht werden. Es gibt keine Möglichkeit, dass sie in die Registrierung geschrieben werden (oder sollten), also sind sie Junk.Was genau sie erschafft, müssen Sie selbst aufspüren, denn es könnte fast alles sein. Es ist möglich, dass etwas im Webcode versucht, bei jedem Zugriff auf die Site eine Registrierungsänderung zu schreiben, dies jedoch mangels Berechtigungen fehlschlägt (ich habe mit Sicherheit dümmeres Zeug gesehen). Möglicherweise werden sie durch Benutzeranmeldungen und nachfolgende generiert Bei einer Aktivität, bei der versucht wird, in die Registrierung zu schreiben, und der es an Berechtigungen mangelt, ist es sogar möglich, dass sie normal erstellt und ausgeführt werden, aber aus irgendeinem Grund nicht wie beabsichtigt gelöscht werden können.
Überprüfen Sie alle Ihre Protokolle, insbesondere Ihre
Event Logs
und IIS-Protokolle, auf Registrierungsfehler, um sie einzugrenzen und herauszufinden, was dies verursacht.quelle
Diese Dateien werden erstellt, wenn ein Profil neu erstellt oder initiiert wird. Sie sind auch Anlass zur Sorge, weil sie in dem Sinne "unterschrieben" sind, dass sie sich in der Region aufhalten und somit zum Mittelpunkt von Eindringlingen oder Hackern werden, wenn Sie möchten.
Befolgen Sie die Anweisungen unter RT-CLK Arbeitsplatz, Eigenschaften, wählen Sie 'Erweiterte Systemeinstellungen' und dann 'Einstellungen' unter Benutzerprofile. Sie sollten eine Liste aller PROFILE erwarten, dh eine für jeden BENUTZER.
Verzögerungen laden immer Inspektoren ein und manchmal übersehen sie etwas, das wichtig sein könnte. Auf einer Maschine gab es hier ein PROFIL mit dem Namen "DefaultProfile", das natürlich falsch ist und gelöscht wurde. Auf einem anderen gab es ein PROFIL mit dem Namen "Default Profile", das ebenfalls gefälscht ist. Letzteres lässt sich jedoch nicht leicht entfernen.
Dies weist darauf hin, dass sich jemand in ein Crescendo eingemischt hat und dieses aufbaut. Auf einer dritten Maschine wurde dies zu einem USER-PROFIL von etwa 231 GB (!!!), was das Booten zu einem unaufhaltsamen Warterlebnis macht. Schließlich ärgerte sich der tolerante Benutzer, wenn etwas, das er die ganze Zeit getan hatte, nicht passierte.
Alle Benutzerkonten auf diesem Computer, einschließlich des Administrators, wurden in HOME USER und / oder GUEST geändert. Versuchen Sie einfach, eine Eingabeaufforderung mit erhöhten Rechten zu erhalten!
Wenn Sie also ein BENUTZERPROFIL löschen und sich dann erneut anmelden, wird ein neues Profil mit dem DefaultProfile und in Win10 erstellt. Dies wird durch die "Hi" -Schwäche deutlich, die es im Laufe der Jahre besser aussehen lässt als Windows Whatever. Wenn Sie sich anmelden und dann unter C: \ Users \ (was auch immer) \ Appdata \ Local nachsehen (für versteckte Dateien), werden die fehlerhaften REGTRANS-MS-Dateien mit der Nummer und der NULL-LÄNGE angezeigt.
Sie sind mit Änderungen gefüllt, die häufig auf Aktionen zurückzuführen sind, die an den Einstellungen der verwendeten Dateien vorgenommen wurden. Dies ist immer noch ein Nein-Nein. Nachdem die Sitzung abgeschlossen ist, werden die Änderungen aufgerufen und die Daten in der Datei werden zu Materialprotokollen für Werbung / Tracking und zu einer ganzen Reihe von Dingen, die nur die "Genies" bei Microsoft betreffen.
Prost.
quelle