NTFS v3.0 enthält gegenüber seinen Vorgängern mehrere neue Funktionen: Unterstützung für spärliche Dateien, Kontingente für die Plattennutzung, Reparse Points, Verfolgung verteilter Links und Verschlüsselung auf Dateiebene, die als Encrypting File System (EFS) bezeichnet wird.
ScalabilityEdit
NTFS ist für 4 KB Cluster optimiert, unterstützt aber eine maximale Clustergröße von 2 MB. (Frühere Implementierungen unterstützen bis zu 64 KB) Die maximale NTFS-Volume-Größe, die die Spezifikation unterstützen kann, ist 264-1-Cluster, aber nicht alle Implementierungen erreichen dieses theoretische Maximum, wie unten beschrieben.,
Die in Windows XP Professional implementierte maximale NTFS-Volume-Größe beträgt 232-1 Cluster, teilweise aufgrund von Einschränkungen der Partitionstabelle. Bei Verwendung von 64-KB-Clustern beträgt die maximale Größe von Windows XP NTFS-Volumes beispielsweise 256 TB minus 64 KB. Bei Verwendung der Standardclustergröße von 4 KB beträgt die maximale NTFS-Volume-Größe 16 TB minus 4 KB. Beide sind erheblich höher als die 128-GB-Grenze in Windows XP SP1., Da Partitionstabellen auf MBR-Datenträgern (Master Boot Record) nur Partitionsgrößen bis zu 2 TB unterstützen, müssen mehrere GUID-Partitionstabellen-Volumes (GPT oder „dynamisch“) kombiniert werden, um ein einzelnes NTFS-Volume mit mehr als 2 TB zu erstellen. Das Booten von einem GPT-Volume in eine von Microsoft unterstützte Windows-Umgebung erfordert ein System mit Unified Extensible Firmware Interface (UEFI) und 64-Bit-Unterstützung.
Die maximale theoretische NTFS-Grenze für die Größe einzelner Dateien beträgt 16 KB (16 × 10246 oder 264 Byte) minus 1 KB, was 18.446.744.073.709.550.592 Byte entspricht., Bei Windows 10 Version 1709 und Windows Server 2019 beträgt die maximal implementierte Dateigröße 8 PB minus 2 MB oder 9.007.199.252.643.840 Bytes.
JournalingEdit
NTFS ist ein Journaling-Dateisystem und verwendet das NTFS-Protokoll ($LogFile), um Metadatenänderungen am Volume aufzuzeichnen., Es ist eine Funktion, die FAT nicht bietet und für NTFS kritisch ist, um sicherzustellen, dass seine komplexen internen Datenstrukturen im Falle von Systemabstürzen oder Datenbewegungen, die von der Defragmentierungs-API ausgeführt werden, konsistent bleiben und ein einfaches Rollback von nicht festgeschriebenen Änderungen an diesen kritischen Datenstrukturen ermöglichen, wenn das Volume erneut gemountet wird. Besonders betroffene Strukturen sind die Bitmap für die Volumenzuweisung, Änderungen an MFT-Datensätzen wie Verschiebungen einiger Attribute variabler Länge, die in MFT-Datensätzen und Attributlisten gespeichert sind, sowie Indizes für Verzeichnisse und Sicherheitsdeskriptoren.,
Das Format ($LogFile) hat sich durch mehrere Versionen weiterentwickelt:
| Windows Version | $LogFile format version |
|---|---|
| Windows NT 4.0 | 1.1 |
| Windows 2000 | |
| Windows XP | |
| Windows Vista | |
| Windows 7 | |
| Windows 8 | |
| Windows 8.,1 | 2.0 |
| Windows 10 |
Die Inkompatibilität der von Windows 8.1 und Windows 10 implementierten $LogFile-Versionen verhindert, dass Windows 8 (und frühere Windows-Versionen) die $LogFile Das NTFS-Volume wird durch ein abruptes Herunterfahren oder durch den Ruhezustand auf die Festplatte im Abmeldezustand im schmutzigen Zustand belassen (alias: Hybrid Boot oder Fast Boot, das standardmäßig in Windows 10 aktiviert ist). Diese Unfähigkeit, die Daten zu verarbeiten.,0 der $LogFile auf schmutzigen Volumes durch diese früheren Versionen von Windows führt zum Aufruf des Dienstprogramms CHKDSK Disk Repair, wenn Windows 10 mit diesen älteren Systemen Dual-bootet. Eine Windows-Registrierungseinstellung ist vorhanden, um das automatische Upgrade der $LogFile auf die neuere Version zu verhindern.
Das USN Journal (Update Sequence Number Journal) ist eine Systemverwaltungsfunktion, die Änderungen an Dateien, Streams und Verzeichnissen auf dem Volume sowie deren verschiedenen Attributen und Sicherheitseinstellungen aufzeichnet (in $Extend\$UsnJrll)., Das Journal wird für Anwendungen zur Verfügung gestellt, um Änderungen an der Lautstärke zu verfolgen. Dieses Journal kann auf Nicht-System-Volumes aktiviert oder deaktiviert werden.
Hard linksEdit
Mit der Hard Link-Funktion können verschiedene Dateinamen direkt auf denselben Dateiinhalt verweisen. Hardlinks ähneln Verzeichnisübergängen, beziehen sich jedoch stattdessen auf Dateien. Hardlinks dürfen nur mit Dateien desselben Volumes verknüpft werden, da jedes Volume über eine eigene MFT verfügt. Hardlinks haben ihre eigenen Dateimetadaten, sodass eine Änderung der Dateigröße oder der Attribute unter einem Hardlink die anderen möglicherweise erst aktualisiert, wenn sie geöffnet werden., Hardlinks wurden ursprünglich enthalten, um das POSIX-Subsystem in Windows NT zu unterstützen.
Windows verwendet Hardlinks, um kurze (8.3) Dateinamen in NTFS zu unterstützen. Betriebssystemunterstützung ist erforderlich, da es ältere Anwendungen gibt, die nur mit 8.3-Dateinamen arbeiten können. In diesem Fall wird ein zusätzlicher Dateinamensdatensatz und ein Verzeichniseintrag hinzugefügt, aber sowohl der lange als auch der lange Dateiname werden im Gegensatz zu einer normalen harten Verknüpfung miteinander verknüpft und aktualisiert.
Das NTFS-Dateisystem hat ein Limit von 1024 Hardlinks auf einer Datei.,
Alternative Datenströme (ADS)Bearbeiten
NTFS-Streams wurden in Windows NT 3.1 eingeführt, um Dienste für Macintosh (SFM) zum Speichern von Ressourcenströmen zu ermöglichen. Obwohl aktuelle Versionen von Windows Server kein SFM mehr enthalten, verwenden AFP-Produkte (Apple Filing Protocol) von Drittanbietern (z. B. Grouplogics ExtremeZ-IP) diese Funktion des Dateisystems weiterhin. Sehr kleine ANZEIGEN (genannt “ Zone.,Identifier“) werden von Internet Explorer und kürzlich von anderen Browsern hinzugefügt, um von externen Websites heruntergeladene Dateien als möglicherweise unsicher zu markieren; Die lokale Shell würde dann eine Benutzerbestätigung erfordern, bevor sie geöffnet werden. Wenn der Benutzer angibt, dass er diesen Bestätigungsdialog nicht mehr möchte, wird diese MELDUNG gelöscht.
Alternative Streams werden im Windows Explorer nicht aufgeführt und ihre Größe ist nicht in der Dateigröße enthalten. Wenn die Datei ohne ADS-Unterstützung kopiert oder in ein anderes Dateisystem verschoben wird, wird der Benutzer gewarnt, dass alternative Datenströme nicht beibehalten werden können., Eine solche Warnung wird normalerweise nicht angezeigt, wenn die Datei an eine E-Mail angehängt oder auf eine Website hochgeladen wird. Daher kann die Verwendung alternativer Streams für kritische Daten Probleme verursachen. Microsoft bietet ein Tool namens Streams zum Anzeigen von Streams auf einem ausgewählten Volume. Ab Windows PowerShell 3.0 ist es möglich, ANZEIGEN nativ mit sechs Cmdlets zu verwalten: Add-Content, Clear-Content, Get-Content, Get-Item, Remove-Item, Set-Content.
Malware hat alternative Datenströme verwendet, um Code auszublenden. Infolgedessen suchen Malware-Scanner und andere spezielle Tools jetzt nach alternativen Datenströmen.,
Dateikompressionedit
NTFS können Dateien komprimieren mit LZNT1 Algorithmus (eine Variante von LZ77) Dateien werden in 16 Cluster-Chunks komprimiert. Bei 4-KB-Clustern werden Dateien in 64-KB-Blöcken komprimiert. Die Komprimierungsalgorithmen in NTFS unterstützen Clustergrößen von bis zu 4 KB. Wenn die Clustergröße auf einem NTFS-Volume größer als 4 KB ist, ist keine NTFS-Komprimierung verfügbar. Wenn die Komprimierung 64 KB Daten auf 60 KB oder weniger reduziert, behandelt NTFS die nicht benötigten 4 KB Seiten wie leere spärliche Dateicluster—sie werden nicht geschrieben., Dies ermöglicht angemessene Random-Access-Zeiten, da das Betriebssystem lediglich der Kette von Fragmenten folgen muss.
Hinweis: Der folgende Abschnitt bezieht sich auf Tests, Recherchen und Empfehlungen, die für Speichergeräte mit hoher Zugriffszeit durchgeführt wurden, z. B. eine mechanische Festplatte, auf der die zum Lesen von Daten verwendeten internen Köpfe physisch bewegt und richtig positioniert werden müssen, und warten Sie dann, bis die Daten auf den rotierenden Festplatten darunter liegen. Siehe weiter unten für aktualisierte Informationen zu SSD und ähnlichen Geräten mit geringer Zugriffszeit.,
Große komprimierbare Dateien werden jedoch stark fragmentiert, da jeder Block, der kleiner als 64 KB ist, zu einem Fragment wird. Laut Untersuchungen des NTFS-Entwicklungsteams von Microsoft sind 50-60 GB eine angemessene maximale Größe für eine komprimierte Datei auf einem NTFS-Volume mit einer Größe von 4 KB (Standard) Cluster (Block). Diese angemessene maximale Größe nimmt bei Volumes mit kleineren Clustergrößen stark ab. Einzelbenutzersysteme mit begrenztem Festplattenspeicher können je nach Komprimierbarkeit von der NTFS-Komprimierung für kleine Dateien von 4 KB bis 64 KB oder mehr profitieren., Dateien, die kleiner als etwa 900 Byte sind, werden im Verzeichniseintrag der MFT gespeichert.
Flash-speicher, wie ssd-laufwerke haben nicht den kopf bewegung verzögerungen von festplatten, so fragmentierung hat nur eine kleinere strafe. Benutzer von schnellen Multi-Core-Prozessoren werden Verbesserungen in der Anwendungsgeschwindigkeit finden, indem sie ihre Anwendungen und Daten komprimieren sowie den Platzbedarf reduzieren. Beachten Sie, dass SSDs mit Sandforce-Controllern bereits Daten komprimieren. Da jedoch weniger Daten übertragen werden, gibt es eine Verringerung der I/Os.,
Die Komprimierung funktioniert am besten mit Dateien, die sich wiederholenden Inhalt haben, selten geschrieben werden, normalerweise nacheinander zugegriffen wird und selbst nicht komprimiert sind. Protokolldateien sind ein ideales Beispiel.
Wenn Systemdateien, die beim Booten benötigt werden (wie Treiber, NTLDR, Winload.exe oder BOOTMGR) komprimiert sind, kann das System nicht richtig booten, da Dekompressionsfilter noch nicht geladen sind. Spätere Windows-Editionen erlauben keine Komprimierung wichtiger Systemdateien.,
Dateien können einzeln (durch Ändern der erweiterten Attribute) für ein Laufwerk, ein Verzeichnis oder einen Verzeichnisbaum komprimiert oder dekomprimiert werden, was zu einem Standardwert für die darin enthaltenen Dateien wird.
Obwohl der Lese – / Schreibzugriff auf komprimierte Dateien transparent ist, empfiehlt Microsoft, die Komprimierung auf Servern oder Netzwerkfreigaben mit Roaming-Profilen zu vermeiden, da dies den Prozessor erheblich belastet.
CompactOS algorithmsEdit
Seit Windows 10 hat Microsoft zusätzliche Algorithmen eingeführt, nämlich XPRESS4K/8K / 16K und LZX., Beide Algorithmen basieren auf LZ77 mit Huffman-Entropie-Codierung, die LZNT1 fehlte. Diese Algorithmen wurden aus dem Windows-Imaging-Format übernommen. Sie werden hauptsächlich für neue CompactOS-Funktionen verwendet, die die gesamte Systempartition mit einem dieser Algorithmen komprimieren. Sie können auch manuell pro Datei mit dem Flag /exe des Befehls compact aktiviert werden. Bei Verwendung in Dateien vermeidet der CompactOS-Algorithmus eine Fragmentierung, indem komprimierte Daten in zusammenhängend zugewiesene Chunks geschrieben werden.,
Sparse filesEdit
Eine sparse Datei: Leere Bytes müssen nicht gespeichert werden, daher können sie durch Metadaten dargestellt werden.
Sparse-Dateien sind Dateien, die mit leeren Segmenten durchsetzt sind, für die kein tatsächlicher Speicherplatz verwendet wird. Für die Anwendungen sieht die Datei aus wie eine normale Datei mit leeren Regionen, die als mit Nullen gefüllte Regionen betrachtet werden. Eine Sparse-Datei enthält nicht unbedingt Sparse-Nullen-Bereiche; Das Attribut „sparse file“ bedeutet nur, dass die Datei sie haben darf.,
Datenbankanwendungen können beispielsweise spärliche Dateien verwenden. Wie bei komprimierten Dateien werden die tatsächlichen Größen von spärlichen Dateien bei der Festlegung von Kontingentgrenzen nicht berücksichtigt.
Volume Shadow CopyEdit
Der Volume Shadow Copy Service (VSS) speichert historische Versionen von Dateien und Ordnern auf NTFS-Volumes, indem alte, neu überschriebene Daten per Copy-on-Write-Technik in Shadow Copy kopiert werden. Der Benutzer kann später eine frühere Version anfordern, die wiederhergestellt werden soll. Auf diese Weise können auch Datensicherungsprogramme Dateien archivieren, die derzeit vom Dateisystem verwendet werden., Auf stark geladenen Systemen empfiehlt Microsoft, ein Schattenkopier-Volume auf einer separaten Festplatte einzurichten.
Windows Vista führte auch persistente Schattenkopien für die Verwendung mit Systemwiederherstellung und früheren Versionen Funktionen. Persistente Schattenkopien werden jedoch gelöscht, wenn ein älteres Betriebssystem dieses NTFS-Volume mountet. Dies geschieht, weil das ältere Betriebssystem das neuere Format persistenter Schattenkopien nicht versteht.,
TransactionsEdit
Ab Windows Vista können Anwendungen Transactional NTFS (TxF) verwenden, um mehrere Änderungen an Dateien in einer einzigen Transaktion zu gruppieren. Die Transaktion garantiert, dass entweder alle oder keine Änderungen vorgenommen werden und dass keine Anwendung außerhalb der Transaktion die Änderungen sieht, bis sie festgeschrieben werden.
Es verwendet ähnliche Techniken wie die für Volumenschattenkopien (dh, copy-on-write), um sicherzustellen, dass übergeschriebene Daten sicher zurückgesetzt werden können, und ein CLFS-Protokoll, um die Transaktionen zu markieren, die noch nicht festgeschrieben wurden, oder diejenigen, die festgeschrieben wurden, aber immer noch nicht vollständig angewendet wurden (im Falle eines Systemabsturzes während eines Commits durch einen der Teilnehmer).
Transactional NTFS beschränkt Transaktionen nicht nur auf das lokale NTFS-Volume, sondern umfasst auch andere Transaktionsdaten oder Vorgänge an anderen Speicherorten, z. B. Daten, die in separaten Volumes, in der lokalen Registrierung oder in SQL-Datenbanken gespeichert sind, oder die aktuellen Zustände von Systemdiensten oder Remote-Diensten., Diese Transaktionen werden netzwerkweit mit allen Teilnehmern koordiniert, die einen bestimmten Dienst, den DTC, verwenden, um sicherzustellen, dass alle Teilnehmer denselben Commit-Status erhalten, und um die von jedem Teilnehmer validierten Änderungen zu übertragen (damit die anderen ihre lokalen Caches für ungültig erklären können alte Daten oder Rollback ihrer laufenden nicht festgeschriebenen Änderungen). Transaktionales NTFS ermöglicht beispielsweise die Erstellung netzwerkweiter konsistenter verteilter Dateisysteme, auch mit ihren lokalen Live-oder Offline-Caches.,
Microsoft rät jetzt von der Verwendung von TxF ab:“ Microsoft empfiehlt Entwicklern dringend, alternative Mittel zu verwenden“, da“TxF in zukünftigen Versionen von Microsoft Windows möglicherweise nicht verfügbar ist“.
SecurityEdit
In NTFS wird jeder Datei oder jedem Ordner ein Sicherheitsdeskriptor zugewiesen, der ihren Besitzer definiert und zwei Zugriffskontrolllisten (ACLs) enthält. Die erste ACL mit dem Namen Discretionary Access Control List (DACL) definiert genau, welche Art von Interaktionen (z. B. Lesen, Schreiben, Ausführen oder Löschen) von welchem Benutzer oder welcher Benutzergruppe zulässig oder verboten sind., Zum Beispiel Dateien in der C:\Program Der Ordner Files kann von allen Benutzern gelesen und ausgeführt werden, jedoch nur von einem Benutzer mit Administratorrechten geändert werden. Windows Vista fügt DACLs obligatorische Zugriffskontrollinformationen hinzu. DACLs sind der primäre Fokus der Benutzerkontensteuerung in Windows Vista und höher.
Die zweite ACL mit dem Namen System Access Control List (SACL) definiert, welche Interaktionen mit der Datei oder dem Ordner geprüft werden sollen und ob sie protokolliert werden sollen, wenn die Aktivität erfolgreich, fehlgeschlagen oder beides ist., Beispielsweise kann das Auditing für sensible Dateien eines Unternehmens aktiviert werden, damit seine Manager wissen, wann jemand versucht, sie zu löschen oder eine Kopie davon zu erstellen, und ob es ihm gelingt.
EncryptionEdit
Verschlüsseln des Dateisystems (EFS) bietet eine starke und benutzerfreundliche Verschlüsselung aller Dateien oder Ordner auf einem NTFS-Volume. EFS arbeitet in Verbindung mit dem EFS-Dienst, der CryptoAPI von Microsoft und der Laufzeitbibliothek des EFS-Dateisystems (FSRTL)., EFS verschlüsselt eine Datei mit einem symmetrischen Massenschlüssel (auch als Dateiverschlüsselungsschlüssel oder FEK bezeichnet), der verwendet wird, da das Verschlüsseln und Entschlüsseln großer Datenmengen relativ wenig Zeit in Anspruch nimmt, als wenn eine asymmetrische Schlüsselverschlüsselung verwendet wird. Der symmetrische Schlüssel, der zum Verschlüsseln der Datei verwendet wird, wird dann mit einem öffentlichen Schlüssel verschlüsselt, der dem Benutzer zugeordnet ist, der die Datei verschlüsselt hat, und diese verschlüsselten Daten werden in einem alternativen Datenstrom der verschlüsselten Datei gespeichert., Zum Entschlüsseln der Datei verwendet das Dateisystem den privaten Schlüssel des Benutzers, um den symmetrischen Schlüssel zu entschlüsseln, der im Datenstrom gespeichert ist. Es verwendet dann den symmetrischen Schlüssel, um die Datei zu entschlüsseln. Da dies auf Dateisystemebene erfolgt, ist es für den Benutzer transparent. Falls ein Benutzer den Zugriff auf seinen Schlüssel verliert, wurde Unterstützung für zusätzliche Entschlüsselungsschlüssel in das EFS-System integriert, sodass ein Wiederherstellungsagent bei Bedarf weiterhin auf die Dateien zugreifen kann., NTFS-bereitgestellte Verschlüsselung und NTFS-bereitgestellte Komprimierung schließen sich gegenseitig aus; NTFS kann jedoch für das eine und ein Drittanbieter-Tool für das andere verwendet werden.
Die Unterstützung von EFS ist in Windows-Versionen Basic, Home und MediaCenter nicht verfügbar und muss nach der Installation von Professional -, Ultimate-und Serverversionen von Windows oder mithilfe von Enterprise Deployment-Tools in Windows-Domänen aktiviert werden.
QuotasEdit
Datenträgerkontingente wurden in NTFS v3 eingeführt., Sie ermöglichen es dem Administrator eines Computers, auf dem eine Windows-Version ausgeführt wird, die NTFS unterstützt, einen Schwellenwert für den von Benutzern möglicherweise verwendeten Speicherplatz festzulegen. Außerdem können Administratoren verfolgen, wie viel Speicherplatz jeder Benutzer verwendet. Ein Administrator kann einen bestimmten Speicherplatz angeben, den ein Benutzer verwenden kann, bevor er eine Warnung erhält, und dann dem Benutzer den Zugriff verweigern, sobald er seine obere Speicherplatzgrenze erreicht hat. Datenträgerkontingente berücksichtigen nicht die transparente Dateikomprimierung von NTFS, sollte diese aktiviert sein., Anwendungen, die die Menge an freiem Speicherplatz abfragen, sehen auch die Menge an freiem Speicherplatz, die dem Benutzer verbleibt, auf den ein Kontingent angewendet wurde.
Reparse pointsEdit
Eingeführt in NTFS v3 werden NTFS-Reparse-Punkte verwendet, indem ein Reparse-Tag im User Space Attribut einer Datei oder eines Verzeichnisses zugeordnet wird. Microsoft enthält mehrere Standard-Tags, darunter symbolische Links, Verzeichnisknotenpunkte und Volume-Mount-Punkte., Wenn der Objektmanager eine Dateisystemnamenssuche analysiert und auf ein Reparse-Attribut stößt, wird die Namenssuche erneut analysiert und die vom Benutzer gesteuerten Reparse-Daten an jeden Dateisystemfiltertreiber übergeben, der in Windows geladen wird. Jeder Filtertreiber untersucht die Reparse-Daten, um zu sehen, ob sie diesem Reparse-Punkt zugeordnet sind, und wenn dieser Filtertreiber eine Übereinstimmung bestimmt, fängt er die Dateisystemanforderung ab und führt seine spezielle Funktionalität aus.
ResizingEdit
Ab Windows Vista hat Microsoft die integrierte Möglichkeit hinzugefügt, eine Partition zu verkleinern oder zu erweitern., Diese Fähigkeit verschiebt jedoch keine Seitendateifragmente oder Dateien, die als nicht verschiebbar markiert wurden, sodass das Verkleinern eines Volumes häufig das Verschieben oder Deaktivieren einer Seitendatei, des Index der Windows-Suche und einer Schattenkopie erfordert, die von Systemwiederherstellung. Verschiedene Tools von Drittanbietern können die Größe von NTFS-Partitionen ändern.