Jump to content

Lsass Prozess - braucht viel Arbeitsspeicher


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

ich hoffe ich bin hier richtig - das ist mein 1. Post. 

 

Ich betreue eine Umgebung bestehend aus einem AD-Forest (2 x Root-DC, 25 Subdomain-DC) - es kommen laufend neue Subdomains hinzu, letze Ausbaustufe sollten 60 DCs im Forest sein. 

Nun beobachte ich, dass der LSASS (Local Security Authority Process) sich superviel RAM nimmt, sodass der RAM auf den DCs immer zu ca 85% Prozent ausgelastet ist. 

Jeder DC ist DC, DNS, DHCP und hat eine Schulsoftware auf MS-Basis installiert und ist mit 12GB RAM bestückt. Ich habe versucht, testweise den RAM auf 20GB zu erhöhen -> der LSASS Prozess verbraucht dann eben noch mehr. 

 

Der großteil der Server hat W2K16 installiert, einige, wenige W2K12R2. Die Domainfunktionsebene und Gesamtstrukturfunktionsebene ist Windows SErver 2012 R2 

 

Nun meine Frage - hätte jemand eine Idee, warum der Prozess soviel RAM verbrauchen könnte? 

 

Vielen Dank schonmal, LG aus Wien, Verena

 image.png.faa1f2f8da8a0b481df0076a8647262f.png

Link zu diesem Kommentar

Hallo und willkommen im Forum.

 

Was ist der Hintergrund der Sub-Domains? Eigentlich sollte man dieses Design prinzipiell vermeiden.

Welchen Patch-Stand haben die Server?

Es gab mal einen Bug:

https://support.microsoft.com/de-de/help/3155218/memory-leak-occurs-in-the-lsass-exe-process-after-you-install-security

 

Es kann aber auch viele andere Ursachen haben, z.B.:

 

https://blogs.msdn.microsoft.com/ntdebugging/2011/04/27/the-mystery-of-lsass-exe-memory-consumption-when-all-components-get-involved/  (Achtung: alter Beitrag)

Link zu diesem Kommentar

Hallo Zahni, danke für deine Antwort, ich werd mich mal durch die Links klicken!

 

Grund der Sub-Domains war es - soweit ich weiß - dass nach einer Lösung gesucht wurde um Schulen einer Stadt in einer Tree - Umgebung abzubilden (Root Domain + jeweils pro Schule eine Subdomain) - leider habe ich dieses Projekt von einem Kollegen übernommen - die Designentscheidung wurde von den damaligen Verantwortlichen (Partnerfirma, die die Schulsoftware liefert und Projektleiter von uns) vor drei Jahren getroffen und jetzt sind wir quasi mitten im Projekt und die Probleme werden mehr.

Alle Server haben den aktuellsten Patch-Stand.

 

LG 

 

 

Link zu diesem Kommentar

Hallo Verena.

 

1. MS best practice: Die ntds sollte komplett ins RAM passen. Deine DCs bräuchten demnach derzeit ca. 40 GB RAM. Warum die so groß ist, läßt sich per Forum nicht beantworten. Ein Hinweis könnte der RID-Pool der einzelnen Domains geben - wo stehst Du da jeweils? Gibt es evtl. "unglückliche" Automations-Skripte, die heillos Objekte erstellen? Und dann wäre natürlich die Frage, wie viele Objekte insgesamt in diesen vielen Domänen vorhanden sind und ob es vielleicht andere Skripte gibt, die in AD-Attributen massig Informationen ablegen? Unser größtes AD hat über 200.000 User, da hat die ntds glaub so 6 oder 8 GB, kann ich morgen mal schauen.

 

2. Subdomains hat Zahni schon erwähnt. Ich formulier's mal drastischer: Die Firma, die das Design entwickelt hat, sollte sich umorientieren. Gebäudereinigung oder so wäre angebracht. Korrekt wäre ein Forest mit EINER Domain und geeignete OU-Strukturen. Wenn es irgend geht, versuch dieses Child Domain Chaos zu stoppen und alles in einer Domäne abzubilden. Single Domain, Single Forest - das ist das einzige mir bekannte Design, das dauerhaft tragfähig ist. Den Rest erledigt man ggf. mit Trusts.

 

Ich weiß, daß Punkt 2 hart und sehr selbstbewußt klingt, aber ich hab schon viele AD-Umgebungen gesehen :-) Und bei einigen wäre ich froh, sie nie gesehen zu haben :-):-)

Link zu diesem Kommentar
vor 14 Stunden schrieb Nobbyaushb:

@daabm - Martin, gibt es die Version auch Digital, nicht für Kindle? PDF oder ePub wäre schön.
kannst mich ja mal direkt antriggern, wir müssen den Thread nicht weiter OT bringen...

Schließe mich an 

vor 21 Stunden schrieb daabm:

@v-rtc guck mal hier: https://www.amazon.de/dp/3866456956

:-) Gibt's natürlich auch woanders. Da MS aber die GPO-Expertise im MVP-Programm gestrichen hat und MS Press Deutschland vor Jahren schon dicht gemacht wurde, sieht es mit einem Nachfolger schlecht aus.

Wow, danke.

 

Das ist natürlich sehr schade. Packt wäre keine Alternative? Oder einfach mal eins schreiben? 

 

Link zu diesem Kommentar
  • 2 Wochen später...

Danke für eure Antworten. Das Projekt hab ich geerbt, über das Design bin ich gelinde gesagt auch nicht sehr glücklich. 

 

 

Zitat

1. MS best practice: Die ntds sollte komplett ins RAM passen. Deine DCs bräuchten demnach derzeit ca. 40 GB RAM. Warum die so groß ist, läßt sich per Forum nicht beantworten. Ein Hinweis könnte der RID-Pool der einzelnen Domains geben - wo stehst Du da jeweils? Gibt es evtl. "unglückliche" Automations-Skripte, die heillos Objekte erstellen? Und dann wäre natürlich die Frage, wie viele Objekte insgesamt in diesen vielen Domänen vorhanden sind und ob es vielleicht andere Skripte gibt, die in AD-Attributen massig Informationen ablegen? Unser größtes AD hat über 200.000 User, da hat die ntds glaub so 6 oder 8 GB, kann ich morgen mal schauen.

Automations-Skripte - nein, hier gibt es pro Schule max 300 User und auch sonst nichts, was irgendwie offensichtlich wäre, warum die DB so explodiert.

 

Zu RID:

Ich habe mal bei zwei Domains gefragt:

image.png.4702eacf37d0ccdad29791abfb09eeb0.png

image.png.ddb06b7d9a07566843b909d094586eb7.png

 

 

Vielen Dank,

LG Verena 

Link zu diesem Kommentar

Das sind nahezu null Objekte - 2000 bis 3000 ist gar nichts. Hm - zu viele Domains? Ich hab keinerlei praktische Erfahrung mit Multi-Domain Forests, aber der globale Katalog muß halt auch in die NTDS rein. (Wir haben uns in 2001 für Single Domain Forests entschieden und sind damit prima gefahren, wir werden das niemals ändern :-) )

 

Du könntest mal ein paar von den Treffern hier folgen: https://www.google.com/search?client=firefox-b-d&q=ntds.dit+determine+size+reasons

 

Habt Ihr Benutzerbilder mit reingenommen? Irgendwas anderes, was viel Platz braucht? Ich weiß es nicht...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...