Использование памяти процессом Lsass.exe на контроллерах домена, работающих под управлением Windows Server 2003 или Windows 2000 Server

Переводы статьи Переводы статьи
Код статьи: 308356 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В этой статье обсуждаются основы функционирования процесса Lsass.exe, рекомендации по настройке процесса Lsass.exe и оценке использования процессом памяти . Этот документ может использоваться в качестве руководства по анализу производительности и потребностей в памяти процесса Lsass.exe на контроллерах домена, работающих под управлением Microsoft Windows Server 2003 и Microsoft Windows 2000 Server. Предоставленные в статье сведения будут полезны при разрешении вопросов, касающихся настройки и оптимизации работы процесса Lsass.exe на серверах и контроллерах домена.

Процесс Lsass.exe отвечает за проверку подлинности доменов локального администратора безопасности и управление службой каталогов Active Directory. Процесс осуществляет проверку подлинности как для клиента так и для сервера и управляет механизмом Active Directory. Процесс Lsass.exe обеспечивает работу следующих компонентов:
  • Локальный администратор безопасности
  • Служба сетевого входа в систему
  • Служба диспетчера учетных записей безопасности
  • Служба сервера LSA
  • Протокол SSL
  • Протокол проверки подлинности Kerberos v5
  • Протокол проверки подлинности NTLM

Дополнительная информация

Ограничение количества приложений на контроллере домена

В целях оптимизации производительности процесс Lsass.exe выделяет себе максимально возможное на данном сервере или контроллере домена количество памяти. Процесс Lsass.exe освобождает память по мере поступления запросов на выделение памяти от других приложений. Основной целью является оптимизация производительности процесса Lsass.exe, принимая при этом во внимание потребности других процессов, которые могут выполняться на компьютере. Поэтому в целях увеличения производительности рекомендуется, насколько это возможно, ограничить или снизить количество приложений на контроллере домена. Если запросов на память не поступает, процесс Lsass.exe использует память для кэширования запрашиваемых данных.

Использование программ Active Directory Sizer (Adsizer.exe) и ADTEST

Для оценки количества памяти, необходимой контроллеру домена в зависимости от его функций, можно использовать средство Adsizer.exe. Результат этого теста является приблизительной оценкой, программа Adsizer.exe не может точно спрогнозировать, какое количество памяти понадобится всем процессам. Воспользовавшись программой ADTEST, можно провести нагрузочные испытания контроллера домена и рассчитать базовый уровень использования и предполагаемую нагрузку памяти.

32-разрядное адресное пространство ограничено 4 ГБ физической памяти

32-разрядное адресное пространство ограничено 4 ГБ физической памяти.

Использование счетчиков для мониторинга загрузки Lsass.exe

Для мониторинга загрузки Lsass.exe можно использовать объекты-задания, счетчик загрузки процессора (загрузка процессора на 80% означает его чрезмерную загрузку), программа анализа производительности adperf и cop. Счетчики, представляющие в данном случае интерес: Память, Процесс, Объект NTDS, Кэш, Сервер, Процессор, Потоки, База данных.

Использование Windows Server 2003 или Windows 2000 Server

Если на контроллере домена планируется установить больше 1 ГБ физической памяти, следует использовать одну из следующих операционных систем: Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition, Windows Server 2003 Datacenter Edition, Windows 2000 Advanced Server, Windows 2000 Datacenter Server. Перечисленные операционные системы позволяют использовать параметр /3GB в файле %SystemDrive%\Boot.ini и, таким образом, предоставить системе дополнительно 1 ГБ адресуемой памяти. Следует заметить, что если использовать этот параметр в Windows 2000 Server, дополнительная память не будет доступна.

Внимание. Майкрософт осуществляет поддержку систем Windows Server 2003 Standard Edition с параметром /3GB в производственной среде для использования с Active Directory. Для других приложений Майкрософт осуществляет поддержку систем Windows Server 2003 Standard Edition, использующих параметр /3GB в производственной среде, только если производитель приложения проводил тестирование в этой среде и если производитель осуществляет поддержку клиентов, использующих эту функциональность. Microsoft Exchange Server 2003 и Microsoft SQL Server 2000 также могут использовать эту функциональность. Для выяснения возможности использования указанной функциональности с другим приложением необходимо связаться с его производителем. Для некоторых приложений использование параметра /3GB может привести к проблемам, связанным с адресными зависимостями или преобразованиями в пространстве ядра. Кроме случаев, описанных выше, параметр /3GB в операционной системе Windows Server 2003 Standard Edition предназначен только для целей тестирования.

Примечания.
  • Рекомендуется использовать параметр /3GB с осторожностью, поскольку он ограничивает количество элементов в таблице страниц.
  • Параметр /3GB необходим только для систем с 32-разрядной й архитектурой. Для систем с 64-разрядной архитектурой он не требуется.
Дополнительные сведения о настройках памяти см. в следующей статье базы знаний Майкрософт:
291988 Описание функции настройки памяти размером 4 ГБ и параметра расширения физических адресов (РАЕ)

Дополнительные сведения о работе процесса Lsass с памятью

Объем потребляемой процессом Lsass памяти на контроллерах домена включает две основные части: постоянную и переменную.

Постоянная часть состоит из кода, стека, кучи и различных структур данных фиксированного размера (например, кэша схем). Количество памяти, потребляемое процессом Lsass, может различаться и зависит от нагрузки на компьютер. По мере увеличения количества потоков, также увеличивается и количество стеков в памяти. Обычно Lsass.exe использует от 100 МБ до 300 МБ памяти. Lsass.exe использует одинаковое количество памяти вне зависимости от объема оперативной памяти, установленной в компьютере. Но если оперативной памяти установлено больше, Lsass будет использовать больше оперативной памяти и меньше виртуальной памяти.

Переменная часть — это кэш базы данных. Размер кэша может изменяться от 1 МБ до размера всей базы данных. Поскольку больший объем кэша увеличивает производительность, модуль базы данных для AD (ESENT) поддерживает кэш наибольшего возможного объема. При интенсивном использовании памяти компьютера размер кэша меняется. Максимальный размер кэша ограничен как объемом физической памяти, так и размером свободного виртуального адресного пространства (VA). AD использует для кэша только часть виртуального адресного пространства. Максимальный размер виртуального адресного пространства, которое может быть использовано AD, определяется по следующей формуле:
((totalVA - 1GB) / 2)
Примечание. Эта формула применима только для операционной системы Windows 2000. В операционной системе Windows Server 2003 для LSASS используется другая модель памяти, и память для кэша выделяется динамически. Объем используемой памяти возрос до 2,6 ГБ, но это основывается на предположении, что другим процессам в LSASS память не нужна.

Таким образом, на x86-совместимом компьютере без использования параметра /3GB, размер кэша ограничен либо 512 МБ, либо объемом физической памяти, в зависимости от того, что меньше. При использовании параметра /3GB размер кэша ограничен либо 1 ГБ, либо объемом физической памяти, в зависимости от того, что меньше. Это означает, что параметр /3GB имеет смысл использовать только если объем физической памяти RAM больше чем примерно 600МБ (500МБ для кэша, и около 100МБ — для постоянной части). Для 64-разрядных систем, таких как IA64, размер кэша фактически ограничен только объемом оперативной памяти. В Microsoft Development производилось тестирование систем с 9 ГБ кэша.

Использование памяти возрастает при работе с Active Directory

Объем памяти, используемый процессом Lsass.exe, возрастает в соответствии с возрастанием нагрузки на Active Directory. Когда данные запрашиваются, они кэшируются в памяти.

Максимальный объем физической памяти, который может быть использован процессом Lsass.exe и Active Directory

Максимальный объем физической памяти, который может быть использован процессом Lsass.exe и Active Directory, составляет 2 ГБ.

Дополнительные сведения о настройке контроллеров домена

Политики LDAP запросов

271088 XGEN: Оптимизация серверов Windows 2000 Active Directory с шестью или восемью процессорами для работы с Exchange 2000

Отключение AutoSiteCoverage

Дополнительные сведения см. в Windows 2000 Resource Kit.

Ограничение процесса KCC

244368 How to optimize Active Directory replication in a large network

Свойства

Код статьи: 308356 - Последний отзыв: 29 октября 2007 г. - Revision: 10.2
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Ключевые слова: 
kbinfo kbenv kbnetwork kbproductlink KB308356

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com