Me di cuenta de que mi servidor web, la máquina virtual Xen 2008, estaba perdiendo espacio libre gradualmente, más de lo que lo haría por el uso normal y decidí investigar.
Hay dos áreas problemáticas:
*C:\Users\Administrator\ (6,755.0 MB)*
with files:
NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf
Y
C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)
with files
UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf
Por lo que entiendo, estas son copias de seguridad a tiempo de los cambios en el registro. Si ese es el caso, no puedo entender por qué habría más de 10000 cambios. (Esa es la cantidad de archivos que hay por ubicación de carpeta, más de 20,000 por carpeta en total).
Los archivos están usando casi 15 GB de espacio y quiero deshacerme de ellos, me pregunto si puedo eliminarlos. Sin embargo, necesito entender por qué se están creando para poder evitar esto en el futuro.
¿Alguna idea de por qué habría tantos? ¿Hay alguna manera de verificar qué está haciendo las modificaciones?
- ¿Se crean con intentos de inicio de sesión?
- ¿Se crean en relación con el uso diario del servidor web?
- etc. y así sucesivamente
Respuestas:
No son copias de seguridad de los cambios en el registro, en realidad, son los cambios en el registro antes de que se conviertan en cambios en el registro. Un tipo de
.tmp
archivo para cambios de registro, en esencia.Como protección contra la corrupción del registro, que solía ser un problema bastante común y muy desagradable en Windows, lo que hacen las versiones más nuevas de Windows cuando se solicita un cambio en el registro es escribir el cambio solicitado en un archivo antes de hacer nada. (Para los cambios en la sección del usuario, esos archivos tienen la forma
NTUSER.DAT{GUID}.TMContainer####################.regtrans-ms
y están numerados secuencialmente; retroceda lo suficiente y debería ver un00000000000000000001
archivo). Una vez que Windows ha determinado que es "seguro" escribir el cambio en el registro, lo hace, y luego de eso, verificará que se haya realizado el cambio, momento en el cual eliminará el archivo y pasará a otras tareas del sistema operativo. Cuando algo en este proceso falla, terminas acumulando estos archivos.Y claramente, en su caso, algo, en algún lugar de ese proceso, no funciona correctamente. Apuesto un centavo a que, si mira a través del servidor
Event Logs
, verá un montón de errores al respecto, en forma de eventos sobre el bloqueo del registro o la imposibilidad de escribir cambios en el registro. (Probablemente a lo largo de las líneas deUnable to open registry for writing
oFailed to update system registry
). Estos pueden ser indicios de problemas graves, o pueden ser indicios de que algunos programas PITA desean escribir un cambio en el registro cada vez que se inicia y no tienen permiso.También existe la posibilidad menos probable de que los cambios se estén escribiendo, pero los archivos no se pueden eliminar, como sucedería si el controlador de bloqueo de los archivos no se termina correctamente o si
SYSTEM
tiene permiso de escritura, pero carece de permisos de eliminación para esas ubicaciones de carpetas.Puede ser útil para rastrear la fuente hacer una suma rápida de md5 (o similar) de estos archivos para ver si son todos, o en su mayoría idénticos (lo que indicaría que el mismo cambio no se escribe en el registro una y otra vez), o si hay mucha variación, lo que es más probable que indique un problema grave: que muchos procesos no pueden escribir en el registro o que los perfiles de usuario en cuestión están corruptos.
Una vez que haya terminado de analizarlos, cualquiera de estos
.blf
o.regtrans-ms
archivos que se crearon antes del último inicio del sistema se puede eliminar de forma segura. No hay forma de que (o deban) escribirse en el registro, por lo que son basura.En cuanto a qué, precisamente es crearlos, eso es algo que tendrá que rastrear usted mismo, porque podría ser casi cualquier cosa. Es posible que algo en el código web intente escribir un cambio en el registro cada vez que se accede al sitio, pero falla por falta de permisos (ciertamente he visto cosas más tontas), es posible que sean generados por inicios de sesión de usuarios y posteriores actividad que intenta escribir en el registro y que carece de permisos, y como se indicó anteriormente, incluso es posible que se estén creando y ejecutando normalmente, pero por alguna razón no se pueden eliminar según lo previsto.
Verifique todos sus registros, en particular su
Event Logs
y los registros de IIS, en busca de errores relacionados con el registro para reducirlo y descubrir qué está causando esto.fuente
Estos archivos se crean cuando se recrea o se inicia un perfil. También son fuente de problemas, porque están 'firmados' en el sentido de que son residentes y, por lo tanto, se convierten en el foco de intrusos o piratas informáticos si lo desea.
Siguiendo las instrucciones, RT-CLK Mi PC, Propiedades, seleccione 'Configuración avanzada del sistema' y luego 'Configuración' en Perfiles de usuario. Debe esperar una lista de todos los PERFILES, es decir, uno para cada USUARIO.
Las ralentizaciones siempre invitan a los inspectores y, a veces, pasan por alto algo que podría ser importante. En una máquina aquí, había un PERFIL llamado "Perfil predeterminado", que por supuesto es falso y se eliminó. En otro, había un PERFIL llamado "Perfil predeterminado", que también es falso. Sin embargo, este último no se elimina fácilmente.
Esto indica que alguien ha pirateado y está construyendo un crescendo, que en una tercera máquina, se convirtió en un PERFIL DE USUARIO de unos 231GB (!!!), haciendo que el arranque sea una experiencia de espera inexorable. Finalmente, el usuario tolerante se molestó cuando algo que había estado haciendo todo el tiempo no estaba sucediendo.
Todas las cuentas de usuario en esa máquina, incluido el administrador, se cambiaron a USUARIO DOMÉSTICO y / o INVITADO. ¡Solo trata de obtener un símbolo del sistema elevado de eso!
Entonces, si elimina un PERFIL DE USUARIO y luego inicia sesión de nuevo, se crea un nuevo perfil utilizando el Perfil predeterminado y en Win10, esto es evidente por el baloney 'Hola' que hace que se vea mejor que Windows lo que sea a lo largo de los años. Si tuviera que iniciar sesión y luego buscar en C: \ Users \ (lo que sea) \ Appdata \ Local (para archivos ocultos) verá los archivos REGTRANS-MS ofensivos, numerados y CERO LONGITUD.
Están llenos de cambios, que a menudo resultan en acciones tomadas en la configuración de los archivos en uso, que todavía es un no-no. Una vez que se completa la sesión, se invocan los cambios y los datos en el archivo se convierten en los registros de publicidad / seguimiento y en una gran cantidad de cosas de las que solo los 'Genios' de Microsoft se ocupan ahora.
Salud.
fuente