Mir ist aufgefallen, dass mein Webserver, 2008 Xen VM, nach und nach freien Speicherplatz verliert – mehr als ich bei normaler Nutzung gedacht hätte, und habe mich entschlossen, der Sache nachzugehen.
Es gibt zwei Problembereiche:
*C:\Users\Administrator\ (6,755.0 MB)*
with files:
NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf
UND
C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)
with files
UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf
So wie ich das verstehe, handelt es sich hierbei um zeitnahe Sicherungen von Registrierungsänderungen. Wenn das der Fall ist, kann ich mir nicht erklären, warum es über 10.000 Änderungen geben sollte. (So viele Dateien gibt es pro Ordnerspeicherort, insgesamt über 20.000 pro Ordner.)
Die Dateien belegen fast 15 GB Speicherplatz und ich möchte sie loswerden. Ich frage mich nur, ob ich sie entfernen kann. Ich muss jedoch verstehen, warum sie erstellt werden, damit ich dies in Zukunft vermeiden kann.
Irgendwelche Ideen, warum es so viele sind? Kann ich irgendwie überprüfen, was die Änderungen bewirkt?
- Werden sie durch Anmeldeversuche erstellt?
- Werden sie im Hinblick auf die tägliche Nutzung von Webservern erstellt?
- usw. und so weiter
Antwort1
Dabei handelt es sich nicht um Backups von Registrierungsänderungen, sondern um das, was Änderungen an der Registrierung sind, bevor sie zu Änderungen an der Registrierung werden. .tmpIm Wesentlichen ein Dateityp für Registrierungsänderungen.
Als Schutz vor Registry-Beschädigungen, die früher ein recht häufiges und sehr schlimmes Problem in Windows waren, schreiben neuere Windows-Versionen bei angeforderten Registry-Änderungen die angeforderte Änderung in eine Datei, bevor sie irgendetwas anderes tun. (Bei Änderungen in der Benutzerstruktur haben diese Dateien die Form NTUSER.DAT{GUID}.TMContainer####################.regtrans-msund sind fortlaufend nummeriert – gehen Sie weit genug zurück, und Sie sollten eine 00000000000000000001Datei sehen.) Sobald Windows festgestellt hat, dass es „sicher“ ist, die Änderung in die Registry zu schreiben, tut es dies und überprüft anschließend, ob die Änderung vorgenommen wurde. Anschließend löscht es die Datei und geht zu anderen Betriebssystemaufgaben über. Wenn bei diesem Vorgang etwas fehlschlägt, sammeln Sie diese Dateien an.
Und in Ihrem Fall funktioniert offensichtlich irgendwo in diesem Prozess etwas nicht richtig. Ich würde wetten, dass Sie, wenn Sie den Server durchsuchen, Event Logseine ganze Menge Fehler diesbezüglich finden werden, in Form von Ereignissen wie Sperren der Registrierung oder Unfähigkeit, Änderungen in die Registrierung zu schreiben. (Wahrscheinlich in der Art von Unable to open registry for writingoder Failed to update system registry). Dies können Hinweise auf schwerwiegende Probleme sein, oder sie können Hinweise darauf sein, dass einige PITA-Programme bei jedem Start eine Änderung in die Registrierung schreiben möchten und keine Berechtigung dazu haben.
Es besteht auch die weniger wahrscheinliche Möglichkeit, dass die Änderungen geschrieben werden, die Dateien jedoch nicht gelöscht werden können. Dies würde passieren, wenn der Sperr-Handle für die Dateien nicht ordnungsgemäß beendet wird oder wenn zwar SYSTEMSchreibberechtigung, jedoch keine Löschberechtigung für diese Ordnerspeicherorte vorhanden ist.
Es kann beim Aufspüren der Quelle hilfreich sein, eine schnelle MD5-Summe (oder ähnliches) dieser Dateien durchzuführen, um zu sehen, ob sie alle oder größtenteils identisch sind (was darauf hinweisen würde, dass die gleiche Änderung immer wieder nicht in die Registrierung geschrieben wird) oder ob es große Abweichungen gibt, was eher auf ein ernstes Problem hinweist - dass viele Prozesse nicht in die Registrierung schreiben können oder dass die betreffenden Benutzerprofile beschädigt sind.
Sobald Sie mit der Analyse fertig sind, können alle diese Dateien .blfsowie .regtrans-msalle Dateien, die vor dem letzten Systemstart erstellt wurden, sicher gelöscht werden. Sie werden (oder sollten) auf keinen Fall in die Registrierung geschrieben, sie sind also Müll.
Was genau sie erstellt, müssen Sie selbst herausfinden, denn es könnte fast alles sein. Es ist möglich, dass etwas im Webcode versucht, bei jedem Zugriff auf die Site eine Registrierungsänderung zu schreiben, aber aufgrund fehlender Berechtigungen fehlschlägt (ich habe sicherlich schon dümmere Dinge gesehen). Es ist möglich, dass sie durch Benutzeranmeldungen und nachfolgende Aktivitäten generiert werden, bei denen versucht wird, in die Registrierung zu schreiben, und dass die Berechtigungen fehlen. Und wie bereits erwähnt, ist es sogar möglich, dass sie normal erstellt und ausgeführt werden, aber aus irgendeinem Grund nicht wie vorgesehen gelöscht werden können.
Prüfen Sie alle Ihre Protokolle, insbesondere Ihre Event LogsIIS-Protokolle, auf registrierungsbezogene Fehler, um das Problem einzugrenzen und die Ursache herauszufinden.
Antwort2
Diese Dateien werden erstellt, wenn ein Profil neu erstellt oder initiiert wird. Sie sind auch eine Quelle von Problemen, da sie in dem Sinne „signiert“ sind, dass sie resident sind und somit zum Ziel von Eindringlingen oder Hackern werden, wenn Sie so wollen.
Folgen Sie den Anweisungen: RT-CLK Arbeitsplatz, Eigenschaften, wählen Sie „Erweiterte Systemeinstellungen“ und dann unter Benutzerprofile „Einstellungen“. Sie sollten eine Liste aller PROFILE erwarten, also eines für jeden BENUTZER.
Verlangsamungen laden immer zu Inspektionen ein und manchmal übersehen sie etwas, das wichtig sein könnte. Auf einer Maschine hier gab es ein PROFIL namens „DefaultProfile“, das natürlich falsch ist und gelöscht wurde. Auf einer anderen Maschine gab es ein PROFIL namens „Default Profile“, das ebenfalls falsch ist. Letzteres lässt sich jedoch nicht so einfach entfernen.
Dies deutet darauf hin, dass sich jemand gehackt hat und es zu einem Crescendo kommt, das auf einer dritten Maschine zu einem BENUTZERPROFIL von etwa 231 GB (!!!) wurde, was den Bootvorgang zu einer unaufhaltsamen Warterei machte. Schließlich wurde der tolerante Benutzer verärgert, als etwas, was er die ganze Zeit getan hatte, nicht passierte.
Alle Benutzerkonten auf diesem Computer, einschließlich des Administrators, wurden in HOME USER und/oder GUEST geändert. Versuchen Sie einfach, von dort aus eine Eingabeaufforderung mit erhöhten Rechten zu erhalten!
Wenn Sie also ein BENUTZERPROFIL löschen und sich dann erneut anmelden, wird ein neues Profil mit dem Standardprofil erstellt. In Win10 ist dies an dem „Hi“-Quatsch erkennbar, der es im Laufe der Jahre besser aussehen lässt als Windows. Wenn Sie sich anmelden und dann in C:\Benutzer\ (was auch immer)\Appdata\Local (für versteckte Dateien) nachsehen, werden Sie die fehlerhaften REGTRANS-MS-Dateien sehen, nummeriert und mit der Länge NULL.
Sie sind voller Änderungen, die häufig auf Einstellungen für verwendete Dateien zurückzuführen sind, was immer noch ein No-Go ist. Nach Abschluss der Sitzung werden die Änderungen aufgerufen und die Daten in der Datei werden zu dem Material, aus dem Protokolle für Werbung/Tracking und eine ganze Reihe anderer Dinge erstellt werden, von denen nur die „Genies“ bei Microsoft wissen.
Prost.