Устранение неполадок высокой Lsass.exe ЦП на контроллерах домена Active Directory

В этой статье решается Lsass.exe ресурсов ЦП на контроллерах домена Active Directory.

Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 2550044

Симптомы

Эта проблема может быть видна следующим образом:

• Сработало оповещение помощника System Center. Он вызывает, что Lsass.exe использует постоянно большой процент возможностей ЦП (счетчик использования ЦП).
• Контроллер домена отвечает медленно или вообще не отвечает на запросы клиентской службы для проверки подлинности или подстановки в каталоге.
• Клиенты домена Active Directory последовательно или часто перестают запрашивать службу у контроллера домена. Вместо этого они находит другой контроллер домена для получения служб.
• Мониторинг производительности с помощью Perfmon.msc или диспетчера задач показывает, что Lsass.exe использует постоянно большой процент возможностей ЦП (объект процесса, счетчик %времени процессора).

Причина

Эта проблема может быть вызвана множеством разных одиночных или объединенных проблем. Практически каждая причина и решение этих проблем уникальны. В Windows Server 2008 и более поздних версиях для определения причины проблемы доступно следующее средство:

Набор сборщиков данных Active Directory для монитора производительности

Решение

Чтобы устранить эту проблему, во время проблемы запустите набор сборщиков данных Active Directory монитора Active Directory на контроллере домена. Это средство использует счетчики производительности и трассировку для отслеживания проблемы. Затем он компилирует отчет с подробными сведениями о потенциальных проблемах. Эти проблемы должны быть расследованы по мере возможных причин.

Чтобы запустить сборщик данных Active Directory, выполните следующие действия.

1. Откройте диспетчер серверов в полной версии Windows Server 2008 или более поздней версии или перейдите на сайт Start >Run >Perfmon.msc и нажмите ввод.
2. Расширь свою надежность >диагностики и наборы >сборщиков данных >производительности.
3. Щелкните правой кнопкой мыши службу диагностики Active Directory и выберите «Пуск» в отображаемом меню.
4. По умолчанию данные для отчета собираются в течение 300 секунд (5 минут). Затем компилятор отчета займет дополнительный период. Время, необходимое для компиляции отчета, пропорционально объему собранных данных.

После компиляции отчета перейдите к диагностике надежности и производительности отчетов > > > системы > диагностики Active Directory. Просмотр завершенных отчетов или отчетов.

Отчет содержит восемь общих категорий в области «Диагностические результаты», которые содержат сведения и выводы в отчете. Она не всегда будет точной причиной проблемы. Но вы можете использовать его, чтобы определить, где искать точные причины.

Если вы столкнулись с высокой Lsass.exe ЦП, проверьте часть отчета «Диагностические результаты». Здесь показаны общие проблемы с производительностью. Также изучите категорию Active Directory. В нем подробно поется о действиях, которые в этот момент делает контроллер домена. Например, какие запросы LDAP влияют на производительность.

Контроллеры домена часто чаще всего влияют на удаленные запросы с компьютеров в среде, запрашивая дорогостоящие запросы. Кроме того, они подвержены большему объему запросов. Сетовая часть отчета полезна для определения удаленных клиентов, которые чаще всего общаются с контроллером домена во время сбора данных диагностикой.

Сообщение об ошибке при выборе ролей в диспетчере серверов на Windows Server

В этой статье содержится решение проблемы Windows Server, в которой выбор ролей в диспетчере серверов создает сообщение об ошибке и событие 1601.

Оригинальная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 971509

Симптомы

При нажатии ролей в диспетчере серверов на компьютере Windows Server ваш профиль не загружается правильно, и вы получаете сообщение об ошибке. Если выбрать сведения об ошибках, вы увидите следующее сообщение:

Диспетчер сервера:
Неожиданная ошибка, освежающая диспетчер сервера; не может открыть анонимный маркер безопасности уровня. (Исключение из HRESULT: 0x00070543) Дополнительные сведения см. в журнале событий: Diagnostics, Event Viewer, Applications and Services Logs, Microsoft, Windows, Server Manager, Operational.

Чтобы просмотреть сведения о событии, откройте viewer событий и перейдите в журналы приложений и служб Microsoft Windows Server Manager \ \ \ \ Operational. И посмотрите событие 1601. В этой записи приводится следующая информация:

Имя журнала: Microsoft-Windows-Server Manager/Operational
Источник: Microsoft-Windows-ServerManager
Дата: MM/DD/YYYY hr:min:sec PM
ID события: 1601
Категория задач: Нет
Уровень: ошибка
Ключевые слова:
Пользователь: XXXXXXXXXXXXXXXX
Компьютер: XXXXXX.XXXXX
Описание:
Не удалось обнаружить состояние системы. Было обнаружено неожиданное исключение: System.Runtime.InteropServices.COMException (0x80070543): Не удается открыть анонимный маркер безопасности уровня. (Исключение из HRESULT: 0x80070543) в System.Runtime.InteropServices.Marshal.ThrowExceptionForHRInternal(Int32 errorCode, IntPtr errorInfo) в Microsoft.Windows.ServerManager.ComponentInstaller.CreateSessionAndPackage(IntPtr& session, Пакет IntPtr&) в Microsoft.Windows.ServerManager.ComponentInstaller.InitializeUpdateInfo() в Microsoft.Windows.ServerManager.ComponentInstaller.Initialize() в Microsoft.Windows.ServerManager.Common.Provider.Initialize (DocumentCollection documents) в Microsoft.Windows.ServerManager.ServerManagerModel.InternalRefreshModelResult(Object state)

Причина

Эта проблема может возникнуть, Component-Based подсистема обслуживания повреждена в операционной системе Windows. Такая коррупция может возникнуть из-за неправильных разрешений, заданной пользователями или администратором.

Решение

Чтобы устранить эту проблему, выполните следующие действия:

Нажмите кнопку Начните, нажмите кнопку Выполнить, введитеdcomcnfg.exe, а затем нажмите кнопку ОК.

Если вы получаете запрос управления учетной записью пользователя, нажмите кнопку ОК.

В дереве консоли расширь компонентные службы, а затем расширь компьютеры.

Щелкните правой кнопкой мыши «Мой компьютер», а затем нажмите кнопку Свойства.

Нажмите кнопку Свойства по умолчанию, а затем в списке уровень проверки подлинности по умолчанию нажмите кнопку Подключиться.

Если элемент уровня проверки подлинности по умолчанию не установлен к None, не измените его. Это может быть установлено администратором.

В списке уровень обезличения по умолчанию нажмите кнопку Определить.

Нажмите кнопку ОК и нажмите кнопку Да, чтобы подтвердить выбор.

Закрой консоль Component Services.

Status

Корпорация Майкрософт подтвердила, что это проблема в продуктах Майкрософт, перечисленных в начале этой статьи.

Тормозит сервер Windows как найти и локализовать причину?

В данной статье рассказано о средствах Windows, помогающих установить причину почему тормозит сервер. В статье рассмотрена операционная система Windows Server 2012 R2 — одна из самых популярных у VDS / VPS хостинг провайдеров.

При поиске причины тормозов сервера очень важно найти непосредственно процесс который создает наибольшую нагрузку на систему. В этом может оказать неоценимую помощь приложение perfmon которое входит в состав ОС Windows. Наибольший интерес для новичков будет представлять окно Resource Monitor.

Запуск Resource Monitor под Windows Server

Наиболее простой способ запуска это в окне Run (команда Win + R) набрать комманду perfmon /res.

Альтернативный вариант — в окне Task Manager (открывается комбинацией клавиш Ctrl-Shift-Esc) перейти на вкладку Peformance и внизу вкладки нажать на ссылку Open Resource Monitor.

Вкладка Performance дает общую информацию о системе, которая может быть также полезна. Можно понять загрузка какого ресурса близка к 100%: памяти, CPU или локальной сети.

Использование Resource Monitor для поиска причины почему тормозит сервер.

Очень часто поиск причины тормозов сервера начинают с проверки загруженности дисковой системы. Ниже представлено окно Resource Monitor на вкладе Disk.

На вкладке Disk Activity показана загруженность в процентах. Если загрузка, близка к 100%, то скорее всего дисковая система является причиной низкой производительности системы. Щелкая по заголовку Total (B / Sec) можно отсортировать файлы с которыми в данный момент роботает система по объему чтетния и записи на диск. Наиболее загруженный файл и будет причиной тормозов системы. Зная какой файл создает высокую нагрузку гораздо легче понять, какой процесс нагружает систему. Если это какой-то системный файл начинающийся с C:/Windows, то есть смысл воспользоваться поисковой системой, чтобы понять, какой системной службе принадлежит данный файл.

Следущей причиной может стать Сетевая нагрузка. Особенно это актуально для VPS серверов. В случае если вы подключаетесь по RDP то сетевый задержки могут ощущаться как тормоза сервера. Переходим на вкладку Network:

В первую очередь обращаем внимание на общую нагрузку сети. Если она близка к 100% процентам, то скорее всего проблема в сети. На вкладке Processes with Network Activity и TCP Connections мы можем найти название процесса, который нагружает сеть. К сожалению, системные и серверный службы запускаются при помощи системного файла svchost.exe, и часто непонятно какая именно служба загружает сеть. Но если, вы видите, что причина в svchost.exe, то причину нужно искать в службах Windows.

Бывает так, что вы запустили слишком много программ и у вас банально не хватает оперативной памяти. В этом случае нам может помочь вклада Memory. Иформация по процессам аналогична вкладке Network:

Самый простой случаей это загрузка CPU. Ее можно посмотреть на вкладке как на вкладке CPU так и в обычном Task Manager:

Заметки о выпуске. Проблемы в Windows Server 2016 Release Notes: Important Issues in Windows Server 2016

Применяется к: Windows Server 2016 Applies to: Windows Server 2016

В этих заметках о выпуске приведены сводные данные о наиболее важных проблемах в операционной системе Windows Server 2016, включая информацию о способах устранения или обхода этих проблем, если таковые известны. These release notes summarize the most critical issues in the Windows Server 2016 operating system, including ways to avoid or work around the issues, if known. Информацию об изменениях структуры, новых компонентах и исправлениях в этом выпуске см. в статье Новые возможности Windows Server 2016 и в сообщениях групп разработчиков конкретных компонентов. For information about by-design changes, new features, and fixes in this release, see What’s New in Windows Server 2016 and announcements from the specific feature teams. Если не указано иное, эти заметки распространяются на все выпуски и варианты установки Windows Server 2016. Unless otherwise specified, each reported issue applies to all editions and installation options of Windows Server 2016.

Этот документ постоянно обновляется. This document is continuously updated. По мере обнаружения критических проблем, определения обходных путей и выпуска исправлений в документ добавляются соответствующие сведения. As critical issues requiring a workaround are discovered, they are added, as are new workarounds and fixes as they become available.

Новые возможности: экспресс-обновления доступны с ноября 2018 г. Express updates available starting in November 2018 (NEW)

Начиная со вторника обновлений в ноябре 2018 года, команда разработчиков Windows будет снова публиковать экспресс-обновления для Windows Server 2016. Starting with the November 2018 Update Tuesday update, Windows will again publish Express updates for Windows Server 2016. При использовании WSUS и Microsoft Endpoint Configuration Manager вы снова уведите два пакета обновления Windows Server 2016: полное обновление и экспресс-обновление. If you’re using WSUS and Configuration Manager you will once again see two packages for the Windows Server 2016 update: a Full update and an Express update. Если вы хотите использовать экспресс-обновление для серверных сред, необходимо убедиться, что на сервере установлено полное обновление за ноябрь 2017 года (KB4048953). Это необходимо для правильной установки экспресс-обновления. If you want to use Express for your server environments, you need to confirm that the server has taken a full update since November 2017 (KB# 4048953) to ensure the Express update installs correctly. Если попытаться установить экспресс-обновление на сервер, который не обновлялся с ноября 2017 года (обновление 11B — KB4048953), вы увидите бесконечный цикл повторяющихся ошибок, который использует пропускную способность и ресурсы ЦП. If you attempt an Express update on a server that hasn’t been updated since the 2017 11B update (KB# 4048953), you’ll see repeated failures that consume bandwidth and CPU resources in an infinite loop. Если вы попали в такую ситуацию, остановите отправку экспресс-обновления и вместо него отправьте последнее полное обновление, чтобы остановить цикл сбоя. If you get into this scenario, stop pushing the Express update, and instead push a recent Full update to stop the failure loop.

Установка основных серверных компонентов Server Core installation option

При использовании варианта установки основных серверных компонентов для Windows Server 2016 очередь печати принтера устанавливается и запускается по умолчанию даже в том случае, если роль сервера печати не установлена. When you install Windows Server 2016 by using the Server Core installation option, the print spooler is installed and starts by default even when the Print Server role is not installed.

Чтобы избежать этого, после первой загрузки отключите очередь печати принтера. To avoid this, after the first boot, set the print spooler to disabled.

Контейнеры Containers

• Прежде чем использовать контейнеры, установите обновление стека обслуживания для Windows 10 версии 1607 от 23 августа 2016 года или любое из более поздних обновлений. Before you use containers, install Servicing stack update for Windows 10 Version 1607: August 23, 2016 or any later updates that are available. В противном случае может возникнуть ряд проблем, включая сбои при сборке, запуске или работе контейнеров, а также ошибки наподобие «Сбой CreateProcess в Win32: Сервер RPC недоступен. Otherwise, a number of problems can occur, including failures in building, starting, or running containers, and errors similar to CreateProcess failed in Win32: The RPC server is unavailable.

• Поставщик OneGet NanoServerPackage не работает в контейнерах Windows. The NanoServerPackage OneGet provider does not work in Windows Containers. Чтобы обойти эту проблему, используйте NanoServerPackage и Save-NanoServerPackage на другом компьютере (отличном от контейнера) для скачивания необходимых пакетов. To work around this, use Find-NanoServerPackage and Save-NanoServerPackage on a different computer (not a container) to download the needed package. Затем скопируйте пакеты в контейнер и установите их. Then copy the packages into the container and install them.

Device Guard Device Guard

Если вы используете защиту целостности кода на основе виртуализации или экранированные виртуальные машины, использующие такую защиту, следует помнить, что эти технологии могут быть несовместимыми с некоторыми устройствами и приложениями. If you use virtualization-based protection of code integrity or Shielded virtual machines (that use virtualization-based protection of code integrity), you should be aware that these technologies could be incompatible with some devices and applications. Необходимо проверить такие конфигурации в лаборатории, прежде чем включать эти функции в рабочих системах. You should test such configurations in your lab before enabling the features on production systems. В противном случае возможна непредвиденная потеря данных или STOP-ошибки. Failure to do so could result in unexpected data loss or stop errors.

Microsoft Exchange Microsoft Exchange

При попытке запустить Microsoft Exchange 2016 CU3 в Windows Server 2016 будут возникать ошибки в файле W3WP.exe хост-процесса IIS. If you attempt to run Microsoft Exchange 2016 CU3 on Windows Server 2016, you will experience errors in the IIS host process W3WP.exe. Обходного пути пока не существует. There is no workaround at this time. Следует отложить развертывание Exchange 2016 CU3 в Windows Server 2016 до тех пор, пока не появится поддерживаемое исправление. You should postpone deployment of Exchange 2016 CU3 on Windows Server 2016 until a supported fix is available.

Средства удаленного администрирования сервера (RSAT) Remote Server Administration Tools (RSAT)

Если запущена более старая версия, чем юбилейное обновление Windows 10, и вы используете Hyper-V и виртуальные машины с включенным виртуальным доверенным платформенным модулем (включая экранированные виртуальные машины), а затем устанавливаете версию средств удаленного администрирования сервера (RSAT) для Windows Server 2016, попытки запуска этих виртуальных машин завершатся сбоем. If you’re running a version of Windows 10 older than the Anniversary Update, and are using Hyper-V and virtual machines with an enabled virtual Trusted Platform Module (including shielded virtual machines), and then install the version of RSAT provided for Windows Server 2016, attempts to start those virtual machines will fail.

Чтобы избежать этого, обновите клиентский компьютер до юбилейного обновления Windows 10 (или более поздней версии) перед установкой средств удаленного администрирования сервера. To avoid this, upgrade the client computer to Windows 10 Anniversary Update (or later) prior to installing RSAT. Если эта проблема уже возникла, удалите средства удаленного администрирования сервера, обновите клиент до юбилейного обновления Windows 10 и снова установите RSAT. If this has already occurred, uninstall RSAT, upgrade the client to Window 10 Anniversary Update, and then reinstall RSAT.

Экранированные виртуальные машины Shielded virtual machines

Убедитесь, что установлены все доступные обновления, прежде чем развертывать экранированные виртуальные машины в рабочей среде. Ensure that you have installed all available updates before you deploy Shielded virtual machines in production.

Если вы используете защиту целостности кода на основе виртуализации или экранированные виртуальные машины, использующие такую защиту, следует помнить, что эти технологии могут быть несовместимыми с некоторыми устройствами и приложениями. If you use virtualization-based protection of code integrity or Shielded virtual machines (that use virtualization-based protection of code integrity), you should be aware that these technologies could be incompatible with some devices and applications. Необходимо проверить такие конфигурации в лаборатории, прежде чем включать эти функции в рабочих системах. You should test such configurations in your lab before enabling the features on production systems. В противном случае возможна непредвиденная потеря данных или STOP-ошибки. Failure to do so could result in unexpected data loss or stop errors.

Меню «Пуск» Start menu

Эта проблема затрагивает Windows Server 2016 с вариантом установки «Сервер с рабочим столом». This issue affects Windows Server 2016 installed with the Server with Desktop Experience option.

При установке любых приложений, которые добавляют элементы ярлыков внутрь папки в меню Пуск, эти ярлыки не будут работать, пока вы не выйдете из системы и снова не войдете в нее. If you install any applications which add shortcut items inside a folder on the Start menu, the shortcuts won’t work until you log out and log back in again.

Вернитесь в главному центру Windows Server 2016. Go back to the main Windows Server 2016 hub.

Производительность Storport Storport Performance

После установки Windows Server 2016 производительность некоторых систем может быть ниже, чем при использовании Windows Server 2012 R2. Some systems may exhibit reduced storage performance when running a new install of Windows Server 2016 versus Windows Server 2012 R2. Во время разработки Windows Server 2016 было реализовано несколько изменений, повышающих безопасность и надежность платформы. A number of changes were made during the development of Windows Server 2016 to improve security and reliability of the platform. Некоторые из этих изменений, например включение Защитника Windows по умолчанию, могут снизить производительность ввода-вывода для некоторых рабочих нагрузок и шаблонов. Some of those changes, like enabling Windows Defender by default, result in longer I/O paths that can reduce I/O performance in certain workloads and patterns. Корпорация Майкрософт не рекомендует отключать Защитник Windows, так как он представляет собой важный уровень защиты системы. Microsoft does not recommend disabling Windows Defender as it is an important layer of protection for your systems.

Авторские права Copyright

Этот документ предоставляется как есть. This document is provided as-is. Сведения и мнения, содержащиеся в данном документе, включая URL-адреса и другие ссылки на веб-сайты в Интернете, могут быть изменены без уведомления. Information and views expressed in this document, including URL and other Internet Web site references, may change without notice.

Настоящий документ не предоставляет никаких законных прав на интеллектуальную собственность в любом продукте Майкрософт. This document does not provide you with any legal rights to any intellectual property in any Microsoft product. Вы можете копировать и использовать настоящий документ для внутреннего использования и в справочных целях. You may copy and use this document for your internal, reference purposes.

© Корпорация Майкрософт (Microsoft Corporation), 2016. © 2016 Microsoft Corporation. Все права защищены. All rights reserved.

Microsoft, Active Directory, Hyper-V, Windows и Windows Server являются товарными знаками или охраняемыми товарными знаками корпорации Майкрософт в США и (или) других странах. Microsoft, Active Directory, Hyper-V, Windows, and Windows Server are either registered trademarks or trademarks of Microsoft Corporation in the United States and/or other countries.

Этот продукт содержит программное обеспечение графических фильтров, частично основанное на продуктах Independent JPEG Group. This product contains graphics filter software; this software is based in part on the work of the Independent JPEG Group.