Lsass.exe-Prozess reagiert haben Sie viele externe Vertrauensstellungen auf Active Directory-Domänencontroller

Gilt für: Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)Microsoft Windows Server 2003 Datacenter Edition (32-bit x86)

Wichtig Dieser Artikel enthält Informationen dazu, wie Sie die Registrierung ändern. Stellen Sie sicher, dass Sie die Registrierung sichern, bevor Sie sie ändern. Stellen Sie sicher, dass Sie wissen, wie Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Für weitere Informationen zum Sichern, Wiederherstellen und Bearbeiten der Registrierung klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
256986 Beschreibung der Microsoft Windows-Registrierung

Problembeschreibung


Auf einem Domänencontroller, auf dem Microsoft Windows Server 2003 ausgeführt wird, reagiert der lokalen Authentifizierungsserver (Lsass.exe) Prozess, wenn Folgendes zutrifft:
  • Sie haben viele externe Vertrauensstellungen und gleichzeitige Anmeldeanfragen.
  • Diese Anmeldeanfragen geben den Domänennamen ein.
Weitere Symptome möglicherweise langsam oder verzögert für Benutzer ältere Authentifizierung (NTLM) anfordern. Zusätzlich kann Überwachung Netlogon-Leistungsobjekt Leistungsindikator Semaphore halten Durchschnittszeit verzögert Benutzern aus anderen Domänen angezeigt.

Ursache


Dieses Problem tritt auf, weil der Lsass.exe-Prozess Ressourcen ausgeführt wird, ist die Anzahl der gleichzeitigen Anmeldung multipliziert mit der Anzahl von Vertrauensstellungen über 1.000.

Problemlösung


Warnung Schwerwiegende Probleme können auftreten, wenn Sie die Registrierung nicht ordnungsgemäß mit dem Registrierungseditor oder mithilfe einer anderen Methode ändern. Diese Probleme können eine Neuinstallation des Betriebssystems erfordern. Microsoft kann nicht garantieren, dass diese Probleme behoben werden können. Ändern Sie die Registrierung auf eigene Gefahr.

Zum Beheben dieses Problems wenden Sie das neueste Servicepack für Windows Server 2003 oder den folgenden Hotfix an Aktivieren Sie die NeverPing -Einstellung.

Wichtig Diese Einstellung möglicherweise unerwünschte Nebeneffekte haben Sie Kunden, die in der Anmeldeanfragen keinen Domänennamen angeben. Diese Clients gehören Microsoft Windows 98-Clients und Outlook Web Access. Diese Clients funktionieren Benutzerkonten mit die Anmeldung mit Anfragen sind in Windows Server 2003-Domäne oder den globalen Katalog. Nur wenn ein Benutzerkonto in einer externen Domäne ist auftreten Probleme.

Gehen Sie folgendermaßen vor, um die NeverPing aktivieren:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit einund klicken Sie dann auf OK.
  2. Suchen Sie den folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. Dieser Unterschlüssel Maustaste, zeigen Sie auf neuund klicken Sie dann auf DWORD-Wert.
  4. Geben Sie NeverPing ein, und drücken Sie die EINGABETASTE.
  5. Doppelklicken Sie auf NeverPingund geben Sie 1 im Feld Wert Text.
  6. Registrierungseditor beenden.

Service Pack-Informationen

Um dieses Problem zu beheben, beziehen Sie das neueste Servicepack für Windows Server 2003. Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
889100 so erhalten Sie das neueste Servicepack für Windows Server 2003

Hotfix-Informationen

Ein unterstützter Hotfix ist von Microsoft erhältlich. Dieser Hotfix soll nur der Behebung des Problems dienen, das in diesem Artikel beschrieben wird. Verwenden Sie diesen Hotfix nur auf Systemen, bei denen dieses spezielle Problem auftritt. Dieser Hotfix sollte weiteren Tests unterzogen werden. Wenn Ihr System durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfehlen wir sie, auf das nächste Softwareupdate zu warten, das diesen Hotfix enthält.

Wenn der Hotfix zum Download zur Verfügung steht, gibt es einen Abschnitt "Hotfixdownload available" ("Hotfixdownload verfügbar"), am oberen Rand dieses Knowledge Base-Artikel. Wenn dieser Abschnitt nicht angezeigt wird, wenden Sie sich an den Microsoft Customer Service and Support, um den Hotfix zu erhalten.

Hinweis Falls weitere Probleme auftreten oder andere Schritte zur Problembehandlung erforderlich sind, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die nicht diesem speziellen Hotfix zugeordnet werden können. Eine vollständige Liste der Telefonnummern von Microsoft Customer Service and Support oder eine separate Serviceanfrage erstellen finden Sie auf der folgenden Microsoft-Website:Hinweis Das Formular "Hotfix download available" ("Hotfixdownload verfügbar") zeigt die Sprachen an, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist dieser Hotfix für Ihre Sprache nicht verfügbar.

Voraussetzungen

Es sind keine Voraussetzungen erforderlich.

Neustartanforderung

Sie müssen den Computer neu starten, nachdem Sie diesen Hotfix anwenden.

Informationen zu ersetzten Hotfixes

Dieser Hotfix ersetzt keine anderen Hotfixes.

Dateiinformationen

Die englische Version dieses Hotfixes weist Dateiattribute (oder spätere Attribute), die in der folgenden Tabelle aufgelistet sind. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) aufgelistet. Wenn Sie die Dateiinformationen anzeigen, werden sie in die lokale Zeit konvertiert. Um die Differenz zwischen UTC und der Ortszeit zu finden, verwenden Sie die Registerkarte Zeitzone unter Datum und Uhrzeit in der Systemsteuerung.
X86-basierten Versionen von Windows Server 2003
DateinameDateiversionDateigrößeDatumZeitPlattform
Netlogon.dll5.2.3790.573419,32808-Aug-200613:01x86
Windows Server 2003 Itanium-Versionen
DateinameDateiversionDateigrößeDatumZeitPlattformServicebereich
Netlogon.dll5.2.3790.573959,48807-Aug-200621:58IA-64RTMQFE
Wnetlogon.dll5.2.3790.573419,32807-Aug-200622:01x86WOW

Status


Microsoft hat bestätigt, dass es ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt "Gilt für" aufgeführt sind. Dieses Problem wurde erstmals in Windows Server 2003 Service Pack 2.

Weitere Informationen


Dieses Problem tritt auf, wenn ältere NTLM-Authentifizierung verwenden und nicht die Domäne, der der Benutzer zugeordnet ist, wenn eine Authentifizierungsanfrage gesendet senden. Wenn ältere Verhalten vom Client benötigt wird müssen Domänencontroller legacy Methoden der richtigen Domäne finden, so dass autorisierende Domäne für diesen Benutzer Überprüfung der Anmeldeinformationen des Benutzers. Das frühere Verhalten ist eine sequenzielle Netzwerkkommunikation mit jeder Domäne Domänencontroller Vertrauensstellungen. Dieses Problem verschlimmert mehr Domänen und Anzahl der Domänenteil der Benutzer Anmeldeinformationen fehlen Authentifizierungsanfragen.


Dieses Problem kann auf Netlogon identifiziert werden sollen Dienst Debuggen Domänencontroller suchen SamLogon Einträge "< Nulll > \username" angezeigt. Suche einfach die Protokolle "< Null > \" zeigen, wenn das Problem auftritt ist.

Dieses Problem kann ältere Authentifizierung Leistungsengpässe verschlechtern. Weitere Informationen finden Sie im Knowledge Base-Artikel:

975363 Sie werden zeitweise Anmeldeinformationen oder Timeouts beim Herstellen einer Verbindung mit Diensten authentifiziert

Weitere Informationen zu einem ähnlichen Problem unter Microsoft Windows 2000 klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

825107 der Lsass.exe-Prozess reagiert haben Sie viele externe Vertrauensstellungen in Windows 2000 Server-Domänencontroller

In einigen Situationen möglicherweise Leistungsprobleme weiterhin auch nach der Einstellung der Neverping angezeigt. In diesen Fällen die MaxConcurrentApi sollte höher eingestellt werden. Weitere Informationen zum Schätzen der besten Einstellung MaxConcurrentApi finden im folgenden Knowledge Base-Artikel.

2688798 wie Performance-Optimierung für die NTLM-Authentifizierung mit der Einstellung MaxConcurrentApi