Proces Lsass.exe může přestat reagovat, pokud máte mnoho externích vztahů důvěryhodnosti na řadiči domény služby Active Directory

Důležité: Tento článek obsahuje informace o úpravě registru. Přesvědčte se, zda jste zálohovali registr před úpravami. Ujistěte se, že víte, jak registr obnovit v případě výskytu problému. Další informace o zálohování, obnovení a úpravě registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
256986 Popis registru systému Microsoft Windows

Příznaky

V řadiči domény se systémem Microsoft Windows Server 2003 místního zabezpečení ověření serveru (Lsass.exe) mohou přestat reagovat proces, pokud jsou splněny následující podmínky:
  • Máte mnoho externích vztahů důvěryhodnosti a mnoho požadavků současných přihlášení.
  • Tyto požadavky na přihlášení není zadán název domény.
Další příznaky mohou být pomalé nebo zpožděné ověřování pro uživatele požadující starší ověřování (NTLM). Kromě toho sledování objekt sledování výkonu služby Netlogon, Průměrná doba držení semafor čítač výkonu může zobrazit zpoždění uživatelům z jiných domén.

Příčina

K tomuto problému dochází, protože proces Lsass.exe vyčerpá prostředky, pokud počet souběžných vynásobí počet vztahů důvěryhodnosti je více než 1 000.

Řešení

Upozornění: Při nesprávné úpravě registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že tyto problémy bude možné vyřešit. Úpravy registru provádíte na vlastní nebezpečí.

Tento problém vyřešíte použijte nejnovější aktualizace service pack pro systém Windows Server 2003 a následující opravu hotfix. Poté povolte NeverPing nastavení.

Důležité: Toto nastavení může způsobit nežádoucí vedlejší účinky, pokud máte klienty, kteří Nezadávejte názvy domén v žádosti o přihlášení. Tito klienti mohou zahrnovat klienty Microsoft Windows 98 a Outlook Web Access. Tito klienti fungovat správně, pokud jsou uživatelské účty, že přihlášení vyžaduje použití v doméně systému Windows Server 2003 nebo v globálním katalogu. Pouze v případě, že uživatelský účet je v externí domény dojít k problémům.

NeverPing nastavení povolit, postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz Regedita klepněte na tlačítko OK.
  2. Vyhledejte následující podklíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. Tento podklíč klepněte pravým tlačítkem myši, přejděte na příkaz Novýa klepněte na příkaz Hodnota DWORD.
  4. Zadejte NeverPing jako název položky registru a pak stiskněte klávesu ENTER.
  5. Poklepejte na položku NeverPing, do textového pole Údaj hodnoty zadejte 1 a potom klepněte na tlačítko OK.
  6. Ukončete Editor registru.

Informace o aktualizaci Service pack

Tento problém vyřešíte pomocí nejnovější aktualizace service pack pro systém Windows Server 2003. Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
889100 jak získat nejnovější aktualizaci service pack pro systém Windows Server 2003

Informace o opravě hotfix

Společnost Microsoft má k dispozici podporovanou opravu hotfix. Tato oprava hotfix je však určena pouze problému popsanému v tomto článku. Použití této opravy hotfix pouze u systémů, ve kterých dochází k tomuto konkrétnímu problému. Tato oprava hotfix může být dále testována. Proto pokud nejste vážně ohrožen tímto problémem, doporučujeme počkat na další aktualizaci softwaru, která obsahuje tuto opravu hotfix.

Pokud je oprava hotfix k dispozici ke stažení, je v horní části tohoto článku znalostní báze Knowledge Base oddíl "Oprava Hotfix je dostupná ke stažení" . Pokud tato sekce není uvedena, obraťte se na Zákaznický servis a podporu společnosti Microsoft k získaní opravy hotfix.

Poznámka: Pokud nastanou další problémy nebo bude nutné další řešení potíží, bude možná třeba vytvořit další samostatný požadavek na služby. Běžná cena za technickou podporu se vztahuje k dodatečným otázkám podpory a k problémům, které se netýkají této konkrétní opravy hotfix. Úplný seznam telefonních čísel služeb zákazníkům společnosti Microsoft a podpoře nebo vytvořit zvláštní požadavek na službu naleznete na následujícím webu společnosti Microsoft:Poznámka: Ve formuláři „Oprava hotfix je dostupná ke stažení“ se zobrazují jazyky, pro které je oprava hotfix k dispozici. Pokud váš jazyk není zobrazen, to je protože oprava hotfix není k dispozici pro daný jazyk.

Předpoklady

Neexistují žádné požadavky.

Požadavek na restartování

Po instalaci této opravy hotfix musíte restartovat počítač.

Informace o nahrazení opravy hotfix

Tato oprava hotfix nenahrazuje žádné další opravy hotfix.

Informace o souborech

Anglická verze této opravy hotfix má atributy (nebo pozdější atributy souborů) uvedené v následující tabulce. Kalendářní data a časy jednotlivých souborů jsou uvedeny v koordinovaném světovém čase (UTC). Při zobrazení informací o souboru je převeden na místní čas. Chcete-li najít rozdíl mezi časem UTC a místním časem, použijte kartu časové pásmo v položce datum a čas v okně Ovládací panely.
Windows Server 2003, verze x86
Název souboruVerze souboruVelikost souboruDatumČasPlatforma
Netlogon.dll5.2.3790.573419,32808-Aug-200613:01x86
Windows Server 2003, verze s procesorem Itanium
Název souboruVerze souboruVelikost souboruDatumČasPlatformaSložka služby
Netlogon.dll5.2.3790.573959,48807-Aug-200621:58IA-64RTMQFE
Wnetlogon.dll5.2.3790.573419,32807-Aug-200622:01x86WOW

Stav

Společnost Microsoft potvrzuje, že se jedná o problém v produktech této společnosti, které jsou uvedeny v části "Platí pro". Tento problém byl poprvé opraven v systému Windows Server 2003 Service Pack 2.

Další informace

K tomuto problému dochází, pokud aplikace používají starší ověřování NTLM a neposílejte doménu, ve které je uživatel přidružen při odesílání požadavku na ověření. Pokud klient požaduje starší verze chování řadiče domény používaly starší metody vyhledejte správné doméně uživatele, aby autoritativní domény daného uživatele můžete poskytnout ověřování pověření uživatele. Starší verze chování je sekvenční síťovou komunikaci s každou doménu řadič domény vztahy důvěryhodnosti. Tento problém se zhoršuje při vyšší čísla domén a požadavků na ověření chybějící část pověření uživatele domény.


Tento problém může být identifikován v Netlogon service ladicích protokolech na řadičích domény vyhledání položek SamLogon, které zobrazí "\username < nulll >". Jednoduše v protokolech "\ < null >" vyhledávání zjistí, zda jde o problém vyskytující vůbec.

Tento problém může zhoršit starší ověřování výkon, problémová místa. Další informace o který naleznete v článku znalostní báze Knowledge Base:

975363 Někdy vyzváni k zadání pověření nebo dochází k vypršení časových limitů při připojení k ověření služby

Další informace o podobném problému v systému Microsoft Windows 2000 klepněte na následující číslo článku databáze Microsoft Knowledge Base:

825107 Lsass.exe může přestat reagovat proces Pokud máte mnoho externích vztahů důvěryhodnosti na řadiči domény se systémem Windows 2000 Server

V některých situacích může problémům s výkonem stále vidět i po Neverping nastavení konfigurace. V těchto případech MaxConcurrentApi nastavení nastavte vyšší hodnotu. Další informace týkající se odhadu nejlepší MaxConcurrentApi nastavení naleznete v následujícím článku znalostní báze.

2688798 postup optimalizace výkonu pomocí nastavení MaxConcurrentApi pro ověřování NTLM
Vlastnosti

ID článku: 923241 - Poslední kontrola: 14. 1. 2017 - Revize: 1

Váš názor