Auf einem Windows 2019 Serverdas Laufwerk D: ist zu 100 % voll (500 GB belegt):
Ich versuche zu verstehen, warum die Festplatte voll ist, aber ich kann es nicht, weil sowohl der Datei-Explorer als auch Total Commander meldennicht mehr als 33 GB genutzt:
Es ist auch seltsam, dass WinDirStat in der Startübersicht 100% (500 Gb) verwendet meldet, abernur 33 GB genutztnach der Analyse:
Bitte beachte, dass:
- Ich bin angemeldet alsAdministrator
- Ich startete WinDirStat mitAdministratorrechte
- Ich habe es mit beiden lokalen versuchtAdministratorund Active DirectoryDomänenadministrator
- Ich habe aktiviertversteckte und Systemdateienim Datei-Explorer und Total Commander
- Ich habe chkdsk auf dem Laufwerk D: ausgeführt, ohne ein Problem zu finden
Ich habe 33 GB Daten gefunden.Wo sind die anderen 467 Gb?
Antwort1
Sie könnten WizTree (wiztreefree.com) ausprobieren, das WinDirStat ähnelt, aber den Dateisystemtreiber umgeht und die MFT direkt liest, wenn es als Administrator ausgeführt wird. Es zeigt den von alternativen Datenströmen, Metadatendateien ($MFT, $Secure, $BadClus usw.) und Verzeichnissen, auf die Sie keinen Zugriff haben, belegten Speicherplatz an. Es scheint nicht den für Verzeichnisindizes zugewiesenen Speicherplatz anzuzeigen, und es fehlen möglicherweise noch einige andere Dinge, aber es würde mich nicht überraschen, wenn der Übeltäter tatsächlich auftaucht.
Antwort2
Ich konnte meinen Kommentar nicht mehr bearbeiten, daher poste ich ihn als Antwort.
Ich habe einmal einen solchen Vorfall erlebt: Es lag an Alternate Data Streams, einer Funktion von NTFS für klassische MacOS-Kompatibilität in freigegebenen Ordnern. Leider kann diese unglückselige Funktion für böswillige Zwecke verwendet werden. Einfach ausgedrückt kann sie verwendet werden, um Ihre Festplatte zu füllen, aber der reservierte Speicherplatz kann nicht gefunden werden, wie in Ihrem Fall. Wenn Sie dies überprüfen möchten, empfehle ich das Tool MS Sysinternals.Streams.
Beachten Sie jedoch, dass sie in einigen legitimen Fällen verwendet werden, z. B. von MS SQL Server vor 2014.
Antwort3
Die Standardberechtigungen für C:\System Volume Informationsind NT AUTHORITY\SYSTEM:(OI)(CI)F. Das bedeutet, dass Sie die darin enthaltenen Dateien normalerweise nicht sehen können, selbst wenn Sie es als Administrator ausführen. Sie können beispielsweise verwenden, psexecum eine Anwendung unter dem lokalen Systemkonto zu starten, wodurch WinDirStat usw. alles anzeigen kann, oder Sie können es verwenden, um es Administratorszur ACL hinzuzufügen. Insbesondere wenn Sie frühere Versionen verwenden, werden die Volumeschattenkopien in diesem Verzeichnis gespeichert und diese können ziemlich groß werden.
Antwort4
Das war sehr hilfreich. Ich habe festgestellt, dass Windows Server 2019 die Standardgröße des Failover-Clustering-Diagnoseprotokolls auf 18014398507384832 KB (!) festgelegt hat, sodass die Serverfestplatte voll wurde. WinDirStat hat diese .EVTX-Datei nicht angezeigt, aber WizTree hat sie erkannt. Das hat den Tag gerettet.