Lsass.exe 在 100 %CPU 使用率暴增,然後為 60 分鐘前一次 spiking 顯示在典型負載

文章翻譯 文章翻譯
文章編號: 811172 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

徵狀

Lsass.exe 在主要網域控制站 (PDC) 模擬器操作主機上 (也稱為彈性單一主機操作或 FSMO) 角色持有者在 100 %CPU 使用率暴增約 10 分鐘。然後它減少到一般負載之前它再次暴增的 60 分鐘。

即使您中斷與網路的連線網域控制站,尖峰繼續就會發生。效能記錄會顯示大量的"DS 目錄搜尋/s",在這段時間。如果您使用 [NTDS 診斷記錄無法發現會使這些搜尋一個來源。

CPU 尖峰期間可能會因成員數目和 CPU 速度/的記憶體網域控制站而有所不同。

發生的原因

如果系統管理員群組含有許多使用者,可能就會發生這些尖峰。「 DS 傳播者爭論執行緒來保護系統管理員群組的成員在內部執行 Lsass.exe 中。因此,它無法偵測到由一般的 NTDS 診斷記錄。它會重新啟動之前的一個小時睡眠狀態。通常,系統管理員群組會包含小型的使用者數。因此,執行緒迅速完成,並不會導致明顯的 CPU 使用量。

當系統管理員將大量的使用者新增至系統管理員群組時,可能會特殊的狀況。它也可能超過預期。因為的群組巢狀結構加入單一群組可以產生許多的成員。(群組巢狀結構是使用原生模式網域中)。在這種情況下評估有效的成員資格和此後,安全性檢查和設定可能會造成每小時工資特殊圖文集。

解決方案

若要解決這個問題,限制系統管理員群組的成員。Microsoft 強烈建議您限制專用帳戶數量的系統管理員群組的成員。

還有其他方法來委派系統管理工作給使用者及群組:
  • 使用委派控制助理中 MMC Active Directory 使用者及電腦嵌入式管理單元來委派上組織單位基底控制項。
  • 在以 Web 為基礎的管理使用者介面請考慮使用 Proxy 使用者存取 Active Directory。在這種情況下有效權限的呼叫端必須檢查內部由 Web 應用程式。

狀況說明

這種行為是經過設計規劃的。

?考

如需詳細資訊按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中發行項]:
232199描述及 Active Directory AdminSDHolder 物件的更新
251343以手動方式初始化 SD 傳播程式執行緒,來評估的 Active Directory 中的物件繼承的權限

屬性

文章編號: 811172 - 上次校閱: 2006年10月30日 - 版次: 1.2
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
關鍵字:?
kbmt kbprb KB811172 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:811172
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com