Вопрос или проблема
Исходные данные:
- Указанный сервер является членом домена.
- Это новый сервер, только что установленный.
- Я могу войти на этот сервер, используя любого доменного пользователя (что говорит о том, что на каком-то уровне он обращается к контроллеру домена и Active Directory).
- На этом сервере нет локальных пользователей (кроме Администратора).
NET USERS /domainвозвращает всех пользователей в Active Directory.- UAC отключен (на данный момент, так как я не был уверен, является ли это корнем проблемы).
- Следующая проблема возникает независимо от того, вошел ли я как локальный администратор или как доменный администратор.
Проблема:
Все, что я хочу сделать, это изменить разрешения на папку (и все подэлементы), чтобы включить одну из моих доменных групп (та же проблема возникает, даже если я просто пытаюсь включить одного пользователя или применить разрешения к одному файлу).
У нас есть другой сервер, подключенный к контроллеру домена, который работает безупречно. Изменение разрешений файла/папки обычно очень простая задача:
- Щелкните правой кнопкой мыши папку (или файл) и выберите Свойства.
- На вкладке Безопасность нажмите Редактировать, чтобы изменить разрешения.
- Нажмите Добавить, чтобы добавить пользователя или группу.
И это начало моей проблемы. Поле “Из этого расположения” правильно отображает мой домен.
Однако, что бы я ни вводил в поле “введите имена объектов для выбора”, после нажатия OK или Проверить имена появляется диалоговое окно “Процесс выбора” с содержимым: “Объекты найдены: 0” и кнопкой Стоп. Есть иконка, указывающая на то, что система ищет больше объектов, но я могу оставить это на часы, и это ничего не найдет. Если я нажимаю Стоп, ничего не происходит. В итоге приходится вынуждено закрывать.
Точно так же, если я решу нажать на Расположения, система зависает, и диалоговое окно “Выбор пользователей, компьютеров, обслуживающих учетных записей или групп” становится не отвечающим. Худшая часть в том, что за многие разы, когда я нажимал на расположения, один раз оно наконец открыло диалог выбора расположения примерно через 30 минут (так что оно работает на каком-то уровне, но невероятно медленно). Конечно, я нажал на маленький плюс рядом с доменом, и оно зависло там на неопределенное время.
Я действительно в тупике. Это поведение кажется связанным с Active Directory и моим контроллером домена, но это не очень логично, так как я могу войти как доменный пользователь и подтвердить это за считанные секунды.
Попробуйте нажать кнопку “Расположения…” и выбрать “Весь каталог”. Если это начнет работать, то у вас проблема с LDAP. Выбор “Весь каталог” заставляет диалог выбора использовать порт GC для выполнения запроса. Выбор конкретного домена заставляет его использовать порт LDAP.
.
Ответ или решение
Анализ и решение проблемы зависания Windows Server 2008 R2 при редактировании прав на папки
Контекст:
-
Назначение сервера и его установка: Сервер недавно установлен и является членом домена. Нет локальных пользователей, кроме администратора.
-
Работа с доменом: Можно войти на сервер, используя любую учетную запись домена; командой
NET USERS /domainвозвращаются все пользователи Active Directory (АД). -
UAC отключён: Управление учётными записями пользователей временно отключено.
-
Проблема: Невозможно изменить права на папку или файл, так как процесс зависает при попытке добавить пользователя/группу из домена.
Разбор проблемы:
-
Проблема с Active Directory: На другом сервере в домене проблем нет, что указывает на возможную конфигурационную ошибку именно на текущем сервере.
-
Проявление ошибки: При попытке добавить пользователя или группу через свойства папки, система не может найти объекты АД и зависает в процессе поиска.
Предполагаемая причина:
Вероятно, проблема связана с LDAP-запросами к контроллеру домена. Поведение, описанное вами, указывает на замедление или зависание при попытке получить данные из АД.
Рекомендации по решению:
-
Проверка связи с LDAP и GC:
Попробуйте выбрать "Есть каталог" в окне выбора пользователей или групп. Если в этом случае происходит успешный поиск, то это может свидетельствовать о проблемах с подключением по стандартному LDAP-порту. Использование GC-порта может ускорить процесс, так как он разработан для подобных запросов.
-
Диагностика сети:
- Проверьте состояние сетевых подключений между вашим сервером и контроллером домена.
- Убедитесь, что на сервере нет проблем с разрешением DNS-имен, так как корректное разрешение доменных имён критично для работы LDAP-запросов.
-
Журналы событий:
Изучите журналы событий Windows на наличие ошибок или предупреждений, связанных с сетевыми подключениями или RPC-ошибками, которые могут указать на узкие места.
-
Настройки производительности:
Проверьте использования ресурсов сервера; убедитесь, что сервер не перегружен, так как это может также повлиять на время отклика.
-
Обновление системы:
Убедитесь, что сервер работает с последними установленными обновлениями безопасности и патчами Windows Server, так как устаревшее ПО может иметь известные баги.
-
Диагностика Active Directory:
Воспользуйтесь инструментами диагностики АД, такими как dcdiag, для проверки состояния контроллеров домена.
Следуя данным рекомендации, вы сможете выявить и исправить причину проблемы, связанной с зависанием при редактировании прав на файлы и папки в Windows Server 2008 R2.