Ce ne sont pas des sauvegardes des modifications du registre, en fait, ce sont des modifications apportées au registre avant de devenir des modifications du registre. Un type de .tmp
fichier pour les modifications du registre, essentiellement.
Pour se protéger contre la corruption du registre, qui était un problème assez courant et très désagréable dans Windows, ce que font les nouvelles versions de Windows lorsqu'une modification du registre est demandée, c'est d'écrire la modification demandée dans un fichier avant de faire quoi que ce soit. (Pour les changements dans la ruche utilisateur, ces fichiers sont sous la forme NTUSER.DAT{GUID}.TMContainer####################.regtrans-ms
et sont numérotés séquentiellement - remontez assez loin et vous devriez voir un 00000000000000000001
fichier.) Une fois que Windows a déterminé qu'il est "sûr" d'écrire la modification dans le registre, il le fait, et ensuite, il vérifiera que la modification a bien été effectuée, date à laquelle il supprimera le fichier et passera à d'autres tâches du système d'exploitation. Lorsque quelque chose échoue dans ce processus, vous finissez par amasser ces fichiers.
Et clairement, dans votre cas, quelque chose, quelque part dans ce processus, ne fonctionne pas correctement. Je parierais un centime que si vous regardez à travers le serveur, Event Logs
vous verrez une tonne d'erreurs à ce sujet, sous la forme d'événements concernant le verrouillage du registre ou l'incapacité d'écrire des modifications dans le registre. (Probablement le long de Unable to open registry for writing
ou Failed to update system registry
). Ceux-ci peuvent être des indications de problèmes graves, ou ils peuvent être des indications que certains programmes PITA veulent écrire une modification dans le registre chaque fois qu'il est lancé et n'ont pas l'autorisation.
Il y a également la possibilité moins probable que les modifications soient écrites, mais les fichiers ne peuvent pas être supprimés, comme cela se produirait si la poignée de verrouillage sur les fichiers n'est pas terminée correctement, ou si elle SYSTEM
dispose d'une autorisation d'écriture, mais n'a pas les autorisations de suppression pour ces emplacements de dossier.
Cela peut aider à retrouver la source pour faire une somme rapide md5 (ou similaire) de ces fichiers pour voir s'ils sont tous, ou pour la plupart identiques (ce qui indiquerait le même changement à défaut d'écrire dans le registre encore et encore), ou s'il y a beaucoup de variations, ce qui est plus susceptible d'indiquer un problème grave - que le registre ne peut pas être écrit par de nombreux processus ou que les profils utilisateur en question sont corrompus.
Une fois que vous avez terminé de les analyser, tout fichier .blf
ou .regtrans-ms
fichier créé avant le dernier démarrage du système peut être supprimé en toute sécurité. Il n'y a aucun moyen qu'ils soient (ou devraient) être écrits dans le registre, ils sont donc indésirables.
Quant à ce qui est précisément de les créer, c'est quelque chose que vous devrez rechercher vous-même, car cela pourrait être presque n'importe quoi. Il est possible que quelque chose dans le code Web essaie d'écrire un changement de registre à chaque accès au site, mais échoue par manque d'autorisations (j'ai certainement vu des choses plus stupides), il est possible qu'elles soient générées par des ouvertures de session utilisateur et ultérieures activité essayant d'écrire dans le registre et manquant d'autorisations, et comme indiqué précédemment, il est même possible qu'ils soient créés et exécutés normalement, mais ne peuvent pas être supprimés comme prévu pour une raison quelconque.
Vérifiez tous vos journaux, en particulier vos Event Logs
journaux et IIS pour les erreurs liées au registre afin de le réduire et de déterminer la cause de ce problème.