none
域环境,PC启动后会自动访问一台服务器的共享文件夹,造成该服务器System进程占用大量CPU RRS feed

  • 问题

  • 域环境,每天早上用户上班时,PC启动后会自动访问一台服务器的共享文件夹,同一时间大量的PC去访问该服务器,造成该服务器System进程占用大量CPU。

    该服务器通过共享文件的方式提供应用,在用户PC上有快捷方式,指向该服务器的共享文件。

    之前怀疑是防病毒软件SEP在开机后扫描用户桌面快捷方式,然后扫描到了服务器的共享文件。在修改SEP设定、加入排除项后,这个现象依旧会发生。也联络过赛门铁克工程师确认,可能和防病毒软件没有关系。

    求助排查故障的思路。谢谢!

    2017年12月29日 1:39

答案

  • 您好,

    Everyone组中包含所有的计算机账户和用户账户。基于您的实际情况,访问共享可能一般由用户发起,使用Domain Users替换Everyone可以使计算机账户失去访问共享的权限,从而阻止了SMB会话的产生。如果确实有一些计算机需要访问共享,可以新建一个计算机组并添加SMB共享权限。

    >> 今天早上只有十几个,但有一部分还是计算机账户。
    如果这些计算机账户也是非必要的,建议在AD中检查一下它们的账户权限和其他的计算机账户是否有不同之处。

    当然,如果想要从根本上解决这个问题,还是建议对客户端的开机过程进行监控,找出具体是哪个进程使用计算机账户访问了共享。

    如果需要进一步的帮助,请随时告诉我们。

    此致
    Albert

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 DGIIDA 2018年1月10日 0:33
    2018年1月9日 3:06

全部回复

  • 您好,

    基于目前的情况,我想收集更多信息来缩小问题的范围:
    1. 请问这台提供共享文件夹的服务器安装了哪些服务器角色和功能?同时,该服务器上共有多少个共享?
    2. 请问域中是否配置了某些组策略使得客户端在开机时访问该共享文件夹?

    如果需要进一步的帮助,请随时告诉我们。

    此致
    Albert

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年1月1日 5:36
  • 新年好~!

    1.该台服务器安装的角色有Web服务器、文件服务、应用程序服务器。共享文件夹有16个,其中14个是应用程序的文件夹,用户桌面上有14个快捷方式,指向这14个文件夹。

    2.域策略中没有跟这台服务器相关的策略。


    • 已编辑 DGIIDA 2018年1月2日 3:44 补充
    2018年1月2日 3:34
  • 您好,

    根据截图分析,访问文件服务器的大部分是计算机账户,且打开的文件数量都比较大。
    介于这种情况,建议一方面找一台计算机通过Process Monitor对其进程进行分析。另一方面,可以尝试看看删除SMB共享的Everyone权限转而使用Domain Users看看文件打开数量是否会降低。

    您可以通过下面的链接下载Process Monitor:
    https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

    如果您需要进一步的帮助,请告诉我们。

    此致
    Albert

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年1月3日 11:29
  • 您好,

    我想确认一下目前的情况,请问您试过之前所提供的方法吗?

    如果您已经尝试过,或者在试过之后仍然有问题,请告诉我们,我会做更多研究,并尽我所能给出有帮助的答复。

    如果您需要进一步的帮助,请告诉我们。

    此致
    Albert

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年1月5日 5:38
  • 不好意思,回复晚了。

    已经按之前的建议修改了SMB的共享权限。明天早上再观察,同时使用Process Monitor进行分析。

    2018年1月8日 3:47
  • 您好,

    感谢分享当前的进展,如果您需要进一步的帮助,请告诉我们。

    此致
    Albert

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年1月8日 9:24
  • 您好,修改SMB的共享权限后,访问服务器共享文件的用户明显减少。

    今天早上只有十几个,但有一部分还是计算机账户。

    想请教下为什么去掉everyone的权限可以改善这个问题?

    2018年1月9日 1:19
  • 您好,

    Everyone组中包含所有的计算机账户和用户账户。基于您的实际情况,访问共享可能一般由用户发起,使用Domain Users替换Everyone可以使计算机账户失去访问共享的权限,从而阻止了SMB会话的产生。如果确实有一些计算机需要访问共享,可以新建一个计算机组并添加SMB共享权限。

    >> 今天早上只有十几个,但有一部分还是计算机账户。
    如果这些计算机账户也是非必要的,建议在AD中检查一下它们的账户权限和其他的计算机账户是否有不同之处。

    当然,如果想要从根本上解决这个问题,还是建议对客户端的开机过程进行监控,找出具体是哪个进程使用计算机账户访问了共享。

    如果需要进一步的帮助,请随时告诉我们。

    此致
    Albert

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 DGIIDA 2018年1月10日 0:33
    2018年1月9日 3:06
  • 您好,今天对一台客户端进行了监控,发现还是System进程在访问远程服务器(A027)。

    Process Monitor采集到的System进程数据已上传到企业网盘,能否帮忙分析下PC开机自动访问远程共享文件夹的原因,谢谢~!

    https://drive.263.net/link/Bw2tGEDDsUCpXsQ/

    2018年1月11日 1:03
  • 您好,

    由于查看日志已经超出了论坛支持的范围,如果您的问题急需解决,建议可以到微软技术支持中心开启一个案例:
    https://www.microsoft.com/en-us/worldwide.aspx

    感谢您的理解与配合。

    此致
    Albert

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年1月12日 8:48
  •  好的,谢谢!
    2018年1月15日 1:12