Me di cuenta de que mi servidor web, 2008 Xen VM, estaba perdiendo espacio libre gradualmente, más de lo que habría pensado con un uso normal y decidí investigar.
Hay dos áreas problemáticas:
*C:\Users\Administrator\ (6,755.0 MB)*
with files:
NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf
Y
C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)
with files
UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf
Por lo que tengo entendido, estas son copias de seguridad puntuales de cambios en el registro. Si ese es el caso, no puedo entender por qué habría más de 10000 cambios. (Esa es la cantidad de archivos que hay por ubicación de carpeta, más de 20.000 por carpeta en total).
Los archivos utilizan casi 15 GB de espacio y quiero deshacerme de ellos. Sólo me pregunto si puedo eliminarlos. Sin embargo, necesito entender por qué se crean para poder evitar esto en el futuro.
¿Alguna idea de por qué habría tantos? ¿Hay alguna manera de verificar qué está haciendo las modificaciones?
- ¿Se crean con intentos de inicio de sesión?
- ¿Se crean en relación con el uso diario del servidor web?
- etc y así sucesivamente
Respuesta1
No son copias de seguridad de los cambios del registro; en realidad, son los cambios en el registro antes de que se conviertan en cambios en el registro. Un tipo de .tmparchivo para cambios de registro, en esencia.
Como protección contra la corrupción del registro, que solía ser un problema bastante común y muy desagradable en Windows, lo que hacen las versiones más nuevas de Windows cuando se solicita un cambio en el registro es escribir el cambio solicitado en un archivo antes de hacer cualquier cosa. (Para los cambios en el subárbol de usuarios, esos archivos tienen el formato NTUSER.DAT{GUID}.TMContainer####################.regtrans-msy están numerados secuencialmente; retroceda lo suficiente y debería ver un 00000000000000000001archivo). Una vez que Windows haya determinado que es "seguro" escribir el cambio en el registro, lo hace, y luego de eso, verificará que se haya realizado el cambio, momento en el cual eliminará el archivo y pasará a otras tareas del sistema operativo. Cuando algo en este proceso falla, terminas acumulando estos archivos.
Y claramente, en su caso, algo, en algún lugar de ese proceso, no está funcionando correctamente. Apostaría un centavo a que si revisa el servidor Event Logsverá un montón de errores sobre esto, en forma de eventos sobre el bloqueo del registro o la imposibilidad de escribir cambios en el registro. (Probablemente en la línea de Unable to open registry for writingo Failed to update system registry). Estos pueden ser indicios de problemas graves o pueden ser indicios de que algunos programas PITA quieren escribir un cambio en el registro cada vez que se inician y no tienen permiso.
También existe la posibilidad menos probable de que los cambios se estén escribiendo, pero los archivos no se puedan eliminar, como sucedería si el controlador de bloqueo de los archivos no se cierra correctamente, o si SYSTEMtiene permiso de escritura, pero carece de permisos de eliminación para esas ubicaciones de carpetas.
Puede ser útil rastrear la fuente para hacer una suma md5 rápida (o similar) de estos archivos para ver si son todos, o en su mayoría idénticos (lo que indicaría que el mismo cambio no se escribe en el registro una y otra vez). o si hay mucha variación, lo que es más probable que indique un problema grave: que muchos procesos no pueden escribir en el registro o que los perfiles de usuario en cuestión están corruptos.
Una vez que haya terminado de analizarlos, cualquiera de ellos .blfo .regtrans-mslos archivos que se crearon antes del último inicio del sistema se pueden eliminar de forma segura. No hay forma de que se escriban (o deban) escribirse en el registro, por lo que son basura.
En cuanto a qué es exactamente crearlos, eso es algo que tendrás que rastrear tú mismo, porque podría ser casi cualquier cosa. Es posible que algo en el código web esté intentando escribir un cambio de registro cada vez que se accede al sitio, pero falla por falta de permisos (ciertamente he visto cosas más tontas), es posible que se generen mediante inicios de sesión de usuarios y posteriores. actividad que intenta escribir en el registro y carece de permisos y, como se indicó anteriormente, incluso es posible que se estén creando y ejecutando normalmente, pero no se pueden eliminar según lo previsto por algún motivo.
Verifique todos sus registros, particularmente los suyos Event Logsy los de IIS, en busca de errores relacionados con el registro para reducirlos y descubrir qué está causando esto.
Respuesta2
Estos archivos se crean cuando se recrea o inicia un perfil. También son fuentes de problemas, porque están "firmados" en el sentido de que son residentes y, por lo tanto, se convierten en el foco de intrusos o piratas informáticos, si se prefiere.
Siguiendo las instrucciones, RT-CLK Mi PC, Propiedades, seleccione 'Configuración avanzada del sistema' y luego 'Configuración' en Perfiles de usuario. Debería esperar una lista de todos los PERFILES, es decir, uno para cada USUARIO.
Las ralentizaciones siempre invitan a los inspectores y, en ocasiones, pasan por alto algo que podría ser importante. En una máquina aquí, había un PERFIL llamado "DefaultProfile", que por supuesto es falso y fue eliminado. En otro, había un PERFIL llamado "Perfil predeterminado", que también es falso. Sin embargo, este último no se elimina fácilmente.
Esto indica que alguien ha pirateado y está aumentando hasta llegar a un crescendo, que en una tercera máquina se convirtió en un PERFIL DE USUARIO de unos 231 GB (!!!), lo que hace que el arranque sea una experiencia de espera inexorable. Finalmente, el usuario tolerante se molestó cuando algo que había estado haciendo todo el tiempo no estaba sucediendo.
Todas las cuentas de usuario en esa máquina, incluido el Administrador, se cambiaron a USUARIO DOMÉSTICO y/o INVITADO. ¡Solo intenta obtener un símbolo del sistema elevado a partir de eso!
Entonces, si elimina un PERFIL DE USUARIO y luego inicia sesión nuevamente, se crea un nuevo perfil usando DefaultProfile y en Win10, esto es evidente por la tontería "Hola" que hace que se vea mejor que Windows Lo que sea a lo largo de los años. Si iniciara sesión y luego buscara en C:\Users\ (lo que sea)\Appdata\Local (para archivos ocultos), verá los archivos REGTRANS-MS ofensivos, numerados y de LONGITUD CERO.
Están llenos de cambios, que a menudo resultan de acciones tomadas en la configuración de los archivos en uso, lo cual sigue siendo un no-no. Una vez completada la sesión, se invocan los cambios y los datos del archivo se convierten en el material del que están hechos los registros para publicidad/seguimiento y una gran cantidad de cosas de las que ahora sólo hablan los 'Genios' de Microsoft.
Salud.