Solución de problemas de uso elevado de CPU de Lsass.exe en controladores de Dominio de Active Directory

  • Artículo

En este artículo se resuelve el uso elevado de CPU Lsass.exe en los controladores de Dominio de Active Directory.

Se aplica a: Windows Server 2012 R2
Número de KB original: 2550044

Síntomas

Este problema puede verse de las siguientes maneras:

  • Se ha desencadenado una alerta de System Center Advisor. Indica que el proceso de Lsass.exe usa un porcentaje constantemente grande de las capacidades de la CPU (contador de uso de CPU).
  • Un controlador de dominio responde lentamente o no responde en absoluto a las solicitudes de servicio de cliente para la autenticación o las búsquedas de directorios.
  • Los clientes de dominio de Active Directory dejan de solicitar el servicio de forma coherente o frecuente desde un controlador de dominio. En su lugar, localizan un controlador de dominio diferente desde el que obtener servicios.
  • La supervisión del rendimiento mediante Perfmon.msc o el Administrador de tareas revela que el proceso de Lsass.exe usa un porcentaje coherentemente grande de las capacidades de la CPU (objeto de proceso, % contador de tiempo de procesador).

Causa

Este problema puede deberse a muchos problemas individuales o combinados diferentes. Casi todas las causas y la resolución de estos problemas son únicas. En Windows Server 2008 y versiones posteriores, la siguiente herramienta está disponible para ayudar a determinar la causa del problema:

   Conjunto de recopiladores de datos de Active Directory del Monitor de rendimiento

Solución

Para solucionar este problema, ejecute el conjunto de recopiladores de datos de Active Directory del Monitor de rendimiento en el controlador de dominio mientras se produce el problema. Esta herramienta usa contadores de rendimiento y seguimiento para supervisar el problema. A continuación, compila un informe que muestra detalles de posibles problemas. Estos problemas deben investigarse como posibles causas.

Para ejecutar el recopilador de datos de Active Directory, siga estos pasos:

  1. Abra Administrador del servidor en una versión completa de Windows Server 2008 o posterior, o vaya a Start Run Perfmon.msc (Iniciar>ejecución>de Perfmon.msc) y presione Entrar.
  2. Expanda Sistema de conjuntos >de recopiladores de datosderendimiento> y confiabilidad de diagnóstico>.
  3. Haga clic con el botón derecho en Diagnósticos de Active Directory y seleccione Iniciar en el menú que aparece.
  4. La configuración predeterminada recopilará datos para el informe durante 300 segundos (5 minutos). A continuación, se tardará un período adicional en compilar el informe. La cantidad de tiempo necesario para compilar el informe es proporcional a la cantidad de datos que se han recopilado.

Una vez compilado el informe, vaya a Diagnósticos> dediagnósticos De confiabilidad einformes> de rendimiento >Diagnósticos de>Active Directory. Vea el informe o los informes que se han completado.

El informe contiene ocho categorías amplias en Resultados de diagnóstico que contendrán información y conclusiones en el informe. No siempre indicará la causa exacta del problema. Pero puede usarlo para determinar dónde investigar para encontrar la causa exacta.

Cuando se enfrenta a un uso elevado de CPU por Lsass.exe, compruebe la parte Resultados de diagnóstico del informe. Muestra problemas generales de rendimiento. Examine también la categoría de Active Directory. Detalla las acciones que el controlador de dominio está ocupado realizando en ese momento. Por ejemplo, qué consultas LDAP afectan al rendimiento.

A menudo, los controladores de dominio se ven más afectados por las consultas remotas de equipos del entorno que realizan consultas costosas. O bien, están sujetas a un mayor volumen de consultas. La parte Red del informe es útil para determinar los clientes remotos que más se comunican con el controlador de dominio mientras el diagnóstico recopilaba datos.

Más información

El servicio de subsistema de autoridad de seguridad local (Lsass.exe) es el proceso en un controlador de dominio de Active Directory. Es responsable de proporcionar búsquedas, autenticación y replicación de bases de datos de Active Directory.

Para obtener más información sobre cómo solucionar problemas de uso elevado de CPU del proceso de Lsass.exe en un controlador de dominio de Active Directory, vea Son of SPA: AD Data Collector Sets in Win2008 y versiones posteriores.