Устранение неполадок высокой Lsass.exe ЦП на контроллерах домена Active Directory

В этой статье решается Lsass.exe ресурсов ЦП на контроллерах домена Active Directory.

Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 2550044

Симптомы

Эта проблема может быть видна следующим образом:

• Сработало оповещение помощника System Center. Он вызывает, что Lsass.exe использует постоянно большой процент возможностей ЦП (счетчик использования ЦП).
• Контроллер домена отвечает медленно или вообще не отвечает на запросы клиентской службы для проверки подлинности или подстановки в каталоге.
• Клиенты домена Active Directory последовательно или часто перестают запрашивать службу у контроллера домена. Вместо этого они находит другой контроллер домена для получения служб.
• Мониторинг производительности с помощью Perfmon.msc или диспетчера задач показывает, что Lsass.exe использует постоянно большой процент возможностей ЦП (объект процесса, счетчик %времени процессора).

Причина

Эта проблема может быть вызвана множеством разных одиночных или объединенных проблем. Практически каждая причина и решение этих проблем уникальны. В Windows Server 2008 и более поздних версиях для определения причины проблемы доступно следующее средство:

Набор сборщиков данных Active Directory для монитора производительности

Решение

Чтобы устранить эту проблему, во время проблемы запустите набор сборщиков данных Active Directory монитора Active Directory на контроллере домена. Это средство использует счетчики производительности и трассировку для отслеживания проблемы. Затем он компилирует отчет с подробными сведениями о потенциальных проблемах. Эти проблемы должны быть расследованы по мере возможных причин.

Чтобы запустить сборщик данных Active Directory, выполните следующие действия.

1. Откройте диспетчер серверов в полной версии Windows Server 2008 или более поздней версии или перейдите на сайт Start >Run >Perfmon.msc и нажмите ввод.
2. Расширь свою надежность >диагностики и наборы >сборщиков данных >производительности.
3. Щелкните правой кнопкой мыши службу диагностики Active Directory и выберите «Пуск» в отображаемом меню.
4. По умолчанию данные для отчета собираются в течение 300 секунд (5 минут). Затем компилятор отчета займет дополнительный период. Время, необходимое для компиляции отчета, пропорционально объему собранных данных.

После компиляции отчета перейдите к диагностике надежности и производительности отчетов > > > системы > диагностики Active Directory. Просмотр завершенных отчетов или отчетов.

Отчет содержит восемь общих категорий в области «Диагностические результаты», которые содержат сведения и выводы в отчете. Она не всегда будет точной причиной проблемы. Но вы можете использовать его, чтобы определить, где искать точные причины.

Если вы столкнулись с высокой Lsass.exe ЦП, проверьте часть отчета «Диагностические результаты». Здесь показаны общие проблемы с производительностью. Также изучите категорию Active Directory. В нем подробно поется о действиях, которые в этот момент делает контроллер домена. Например, какие запросы LDAP влияют на производительность.

Контроллеры домена часто чаще всего влияют на удаленные запросы с компьютеров в среде, запрашивая дорогостоящие запросы. Кроме того, они подвержены большему объему запросов. Сетовая часть отчета полезна для определения удаленных клиентов, которые чаще всего общаются с контроллером домена во время сбора данных диагностикой.

Процесс Lsass.exe аварийно завершает работу и из-за объекта параметров CNF NTDS в Active Directory в Windows регистрируется код ошибки 255

Не уверены, если это нужное исправление? Этой проблемы мы добавили в наш которой можно подтвердить.

В данной статье описывается проблема, возникающая в Active Directory в Windows 8.1, Windows Server 2012 R2, Windows 8, Windows Server 2012, Windows 7, Windows Server 2008 R2, Пакет обновления 2 (SP2) для Windows Vista или Windows Server 2008 SP2. Исправления и обновления доступны для решения этой проблемы, за исключением Windows Server 2012 и Windows 8. Исправление имеет необходимых компонентов.

Симптомы

При NTDS Settings конфликтующие (CNF) объекта, созданного в Active Directory, процесс Lsass.exe может аварийно завершить работу и неожиданно перезагрузите контроллер домена. Кроме того в журнале системы регистрируются следующие события:

Имя журнала: приложения
Источник: Ошибка приложения
Дата: DateTime
Код события: 1000
Категории задач: Сбой события приложения
Уровень: ошибка
Ключевые слова: классический
Пользователь: н/д
Компьютер: имя_компьютера
описание
Виновный имя приложения: lsass.exe, версия: 6.1.7601.17725, штамп времени: 0x4ec483fc
Виновный имя модуля: ntdll.dll, версия: 6.1.7601.18229, штамп времени: 0x51fb164a
Код исключения: 0xc0000374
Смещение: 0x00000000000c4102
Этот идентификатор процесса: 0x1f4
Сбойное приложение время начала: 0x01ceb94c671de3dd
Этот путь приложения: C:\Windows\system32\lsass.exe
Этот путь модуля: C:\Windows\SYSTEM32\ntdll.dll
Номер отчета: 80a2cd04-2540-11e3-99e2-441ea1d316a4
Этот пакет полное имя: % 14
Ошибка код приложения относительно пакета: % 15

Имя журнала: приложения
Источник: Microsoft-Windows-Wininit
Дата: DateTime
Код события: 1015
Категории задач: нет
Уровень: ошибка
Ключевые слова: классический
Пользователь: н/д
Компьютер: имя_компьютера
описание
Критический системный процесс, C:\Windows\system32\lsass.exe, ошибка с кодом состояния 255. Необходимо перезагрузить компьютер.

Примечание. Параметры NTDS представляет контроллер домена в системе репликации. Объект параметров NTDS сохраняет объекты соединения, что способствует репликации между двумя или несколькими контроллерами домена.

Решение

Для решения этой проблемы, корпорация Майкрософт выпустила накопительный пакет обновления для Windows 8.1 и Windows Server 2012 R2. И корпорация Майкрософт выпустила исправление для Windows 7, Windows Server 2008 R2, Windows Vista и Windows Server 2008. Имеется также обходной путь для Windows 8.1, Windows Server 2012 R2, Windows 8, Windows Server 2012, Windows 7, Windows Server 2008 R2, Windows Vista и Windows Server 2008 SP2.

Сведения об обновлении для Windows 8.1 и Windows Server 2012 R2

Для решения этой проблемы в Windows Server 2012 R2 или Windows 8.1 установки накопительного пакета обновления 2955164. Дополнительные сведения о том, как получить этот накопительный пакет обновления щелкните следующий номер статьи базы знаний Майкрософт:

Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2 накопительный пакет обновления: мая 2014

Временное решение для Windows 8 и Windows Server 2012

Чтобы обойти эту проблему, удалите объекты конфликтов вручную в соответствии с разделом временное решение .

Сведения об исправлении для Windows 7 и Windows Server 2008 R2

Чтобы устранить эту проблему в Windows 7 или Windows Server 2008 R2, установите исправление 2862304. Дополнительные сведения о получении исправлений щелкните следующий номер статьи базы знаний Майкрософт:

AD DS или AD LDS медленно реагирует на сложный запрос LDAP с глубоким фильтр на Windows server

Сведения об исправлении для Windows Vista и Windows Server 2008

Для решения этой проблемы в Windows Vista и Windows Server 2008, установите исправление, описанное в данной статье.

Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте это исправление только в тех случаях, когда наблюдается проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.

Если исправление доступно для скачивания, имеется раздел «Пакет исправлений доступен для скачивания» в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.

Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Для получения полного списка телефонов поддержки и обслуживания клиентов корпорации Майкрософт, или для создания отдельного запроса на обслуживание, посетите следующий веб-сайт Майкрософт:

Примечание. В форме «Пакет исправлений доступен для скачивания» отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.

Предварительные условия

Это исправление необходимо использовать Пакет обновления 2 (SP2) для Windows Vista или Пакет обновления 2 (SP2) для Windows Server 2008.

Чтобы получить дополнительные сведения о получении пакета обновления для Windows Vista, щелкните следующий номер статьи базы знаний Майкрософт:

как получить последний пакет обновления для Windows VistaДополнительные сведения о том, как получить пакет обновления для Windows Server 2008, щелкните следующий номер статьи базы знаний Майкрософт:

Как получить последний пакет обновления для Windows Server 2008

Сведения о реестре

Для установки этого исправления нет необходимости вносить изменения в реестр.

Необходимость перезагрузки

После установки исправления компьютер необходимо перезагрузить.

Сведения о замене исправлений

Это исправление не заменяет ранее выпущенные исправления.

Глобальная версия этого исправления устанавливает файлы с атрибутами, указанными в приведенных ниже таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени (DST). Кроме того, при выполнении определенных операций с файлами, даты и время могут изменяться.

Примечания к сведениям о файле Windows Vista и Windows Server 2008

Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SP n) и направлению поддержки (LDR, GDR) можно определить по номерам версий, как показано в следующей таблице.

Файлы МАНИФЕСТА (.manifest) и MUM (.mum), устанавливаемые для каждой среды, указаны отдельно в разделе «сведения о дополнительных файлах для системы Windows Vista и Windows Server 2008». MUM, МАНИФЕСТА и связанные файлы каталога безопасности (.cat), очень важны для поддержания состояния обновляемого компонента. Файлы каталога безопасности, для которых не перечислены атрибуты, подписаны цифровой подписью корпорации Майкрософт.

Статус

Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе «Относится к».

Временное решение

Чтобы обойти эту проблему, удалите все повторяющиеся объекты параметров NTDS, содержащие «CNF:» в имени.

Примечание. Объекты параметров NTDS, находятся в разделе конфигурации, в группе узлов -> имя_узла -> серверы -> имя сервера. Каждый сервер должен иметь только один объект NTDS Settings, который является «Параметры NTDS».

Выполните следующие действия, чтобы найти объект параметров NTDS конфликта (CNF).

Откройте ldp.exe или оснастки ADSIEDIT.

Установите подключение и привязку к контроллеру домена.

Поиск раздела конфигурации для любого объекта, где содержится общее имя «CNF:» и класс объекта nTDSDSA. Например фильтр поиска LDAP может выглядеть следующим образом:
BaseDN =, CN = Конфигурация, DC = contoso, DC = com (& (ObjectClass=nTDSDSA)(CN=*CNF*))

Дополнительные сведения

Для получения дополнительных сведений о терминологии обновлений программного обеспечения щелкните следующий номер статьи базы знаний Майкрософт:

Описание Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт

LSASS.exe: что это и как работает в Windows 10

Возможно, вы видели в диспетчере задач службу в Local Security Authority Process, в свойствах которой указано имя lsass.exe. Это важный исполняемый файл в Windows 10, который обрабатывает множество операций, выполняемых под операционной системой Windows (ОС) и служит для безопасности системы. Иногда вы можете неправильно интерпретировать это, как вирус из-за расширения .exe. Давайте разберем подробности связанные с lsass.exe и его принцип работы.

Что такое lsass.exe в Windows 10

Lsass.exe означает службу подсистемы локальной безопасности, где .exe показывает, что это исполняемый файл. Он работает как компонент политики безопасности Windows 10, такой как проверка пользователя на сервере, изменения пароля и аутентификация пользователя во время входа в систему или выхода из системы. lsass.exe активируется, когда запускается winlogon.exe, и если пароль верный, он передает полномочия, или показывает сообщение, что пароль не совпадает. Расположение файла Lsass.exe всегда является путь C:\Windows\System32.

Является ли lsass.exe вирусом?

Нет, lsass.exe не является вирусом, это официальный файл из Microsoft Corporation. Вам не нужно беспокоиться о каком-либо ущербе от этого процесса, если он не поврежден. Детали lsass.exe следующие:

• Описание файла — Local Security Authority Process (Локальный центр безопасности).
• Название продукта приложения — Операционная система Microsoft Windows.
• Авторское право — Microsoft Corporation. Все права защищены.
• Размер — 56.6 KB.
• Язык — Английский.
• Исходное имя файла — lsass.exe.

Как работает lsass.exe в Windows 10?

lsass.exe в Windows 10 является основным системным файлом, который участвует в работе root. Если ваша система перезагружается повторно, это происходит из-за повреждения файла lsass.exe или может быть ошибкой пароля. Исполняемый файл , как известно, работает четырмя различными способами в вашем компьютере.

1. Шифрование файловой системы (EFS) — Этот файл помогает в обработке и хранении зашифрованного файла на вашем рабочем столе. Шифрование — это средство кодирования информации таким образом, чтобы в нее мог войти только авторизованный пользователь. Можете почитать подробнее о шифровании EFS .
2. Изоляция CNG ключей (keyiso) — Работает как процесс защиты данных для закрытых ключей и криптографического файла. В случае, если изоляция CNG-ключа не работает, протокол Extensible Authentication Protocol не может инициализироваться.
3. Диспетчер учетных записей безопасности (SamSs) — Это помогает сократить крах данных при передаче сигнала с одного сервера на другой.
4. Диспетчер учетных данных — Программное обеспечение также работает для управления интернет-протоколом, когда оно подключено к сети.