Sie befinden sich hier: Themen. IT-Grundschutz. IT-Grundschutz-Kataloge. Dokument: G 4.68 Störungen des Active Directory durch unnötige Dateireplizierung - IT-Grundschutz-Kataloge - 10. EL Stand 2008
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

G 4.68 Störungen des Active Directory durch unnötige Dateireplizierung

Seit der Einführung des Betriebssystems Windows 2000 Server verwenden die Domänen-Controller den Dateireplizierungsdienst (File Replication Service, FRS) zur Replikation von Systemrichtlinien und Anmeldeskripten der Clients im Netz einer Institution.

Darüber hinaus wird FRS verwendet, um Daten von fehlertoleranten Freigaben im Distributed File System (DFS) zwischen Servern unter Windows 2000 Server und solchen unter Windows Server 2003 zu replizieren.

Damit eine Replizierung zum geeigneten Zeitpunkt vom FRS angestoßen wird, überwacht der FRS-Dienst "File Close"-Ereignisse des Dateisystems NTFS für alle Verzeichnisse und Dateien, die per FRS repliziert werden sollen. "File Close"-Ereignisse werden dabei von bestimmten Dateioperationen, wie z. B. Löschen und Erstellen von Dateien oder Änderungen an den Datei- und Verzeichnisberechtigungen, ausgelöst.

Software, die zur Systemverwaltung verwendet wird, z. B. Backup-Programme oder Virenschutzprogramme, und dabei auf Dateien und Verzeichnisse zugreift, die vom FRS-Dienst überwacht werden, kann bei unsachgemäßen Zugriff auf die Dateien und Verzeichnisse eine unnötige Replizierung auslösen. Alle Dateien die zur Replizierung anstehen, werden vor der eigentlichen Replizierung im sogenannten Staging-Ordner zusammengefasst.

Anzeichen für eine unnötige Replizierung könnten sich in der Systemumgebung auf folgende Weise bemerkbar machen:

Beispiel:

In einer Institution wird ein Virenschutzprogramm verwendet, das aufgrund einer fehlerhaften Implementierung bei jedem Dateizugriff das "File Close" Ereignis auslöst. Das Computer-Viren-Schutzkonzept der Institution sieht vor, dass in regelmäßigen Abständen das verwendete Viren-Suchprogramm auf den Servern gestartet wird und ein Suchvorgang über alle Dateien gestartet wird.

Durch den fehlerhaften Umgang mit dem "File Close" Ereignis wird für jede Datei eine Replizierung ausgelöst, die gleichzeitig eine unbeabsichtigte, vollständige Synchronisierung aller Dateien und Verzeichnisse zwischen den Servern und Domänen Controllern einer Institution anstößt.

Der dadurch entstehende Datenverkehr kann den geregelten Zugriff auf die Ressourcen innerhalb einer Institution so weit einschränken, dass der ordnungsgemäße Betrieb nicht mehr gewährleistet werden kann. Dies gilt insbesondere für die Niederlassungen einer Institution, die mit einer verhältnismäßig geringen Bandbreite an die Hauptniederlassung angebunden sind.