El proceso Lsass.exe puede dejar de responder si tiene muchas confianzas externas en un controlador de dominio de Active Directory

Importante: Este artículo contiene información acerca de cómo modificar el registro. Asegúrese de hacer copia de seguridad del registro antes de modificarlo. Asegúrese de que sabe cómo restaurarlo si ocurre algún problema. Para obtener más información acerca de cómo hacer copia de seguridad, restaurar y modificar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Síntomas

En un controlador de dominio que está ejecutando Microsoft Windows Server 2003, el proceso del servidor de autenticación de seguridad Local (Lsass.exe) puede dejar de responder si las siguientes condiciones son verdaderas:

  • Tiene muchas confianzas externas y muchas solicitudes de inicio de sesión simultáneos.

  • Estas solicitudes de inicio de sesión no especifican el nombre de dominio.

Síntomas adicionales pueden ser lentas o se retrasan autenticación para los usuarios que solicitan la autenticación heredada (NTLM). Además, si el objeto de rendimiento Netlogon de supervisión, el contador de rendimiento promedio tiempo de semáforo mantenga puede mostrar retrasos a los usuarios de otros dominios.

Causa

Este problema se produce porque el proceso Lsass.exe se ejecuta sin recursos si el número de inicios de sesión simultáneos multiplicado por el número de relaciones de confianza es más de 1.000.

Solución

Advertencia: pueden producirse problemas graves si modifica incorrectamente el registro mediante el Editor del registro o mediante cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar que estos problemas puedan resolverse. Modifique el registro bajo su propio riesgo.

Para resolver este problema, aplique el service pack más reciente para Windows Server 2003 o la siguiente revisión. A continuación, habilite a la configuración de NeverPing .

Importante: Esta configuración puede causar efectos colaterales no deseados si tiene clientes que no se especifican los nombres de dominio en las solicitudes de inicio de sesión. Estos clientes pueden incluir clientes de Microsoft Windows 98 y Outlook Web Access. Estos clientes funcionan correctamente si las cuentas de usuario que el inicio de sesión solicita uso están en el dominio de Windows Server 2003 o en el catálogo global. Surgen problemas sólo si es una cuenta de usuario en un dominio externo.

Para habilitar a la configuración de NeverPing , siga estos pasos:

  1. Haga clic en Inicio, haga clic en Ejecutar, escriba Regedity, a continuación, haga clic en Aceptar.

  2. Busque la siguiente subclave del registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. Haga clic en esta subclave, seleccione nuevoy, a continuación, haga clic en Valor DWORD.

  4. Escriba NeverPing como nombre de la entrada del registro y, a continuación, presione ENTRAR.

  5. Haga doble clic en NeverPing, escriba 1 en el cuadro de texto información del valor y, a continuación, haga clic en Aceptar.

  6. Salga del Editor del Registro.

Información del Service pack

Para resolver este problema, obtenga el service pack más reciente para Windows Server 2003. Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:

cómo obtener el service pack más reciente para Windows Server 2003

Información de la revisión

Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplíquela sólo a sistemas que experimenten este problema específico. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.

Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.

Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:

Nota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.

Requisitos previos

No hay requisitos previos.

Requisito de reinicio

Debe reiniciar el equipo después de aplicar este hotfix.

Información de reemplazo de revisión

Este hotfix no sustituye a otras revisiones.

Información de archivo

La versión en inglés de esta revisión tiene los atributos de archivo (o atributos del archivo más reciente) mostrados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha zona horaria en el elemento de fecha y hora del Panel de Control.

Windows Server 2003, versiones basadas en x86

Nombre del archivo

Versión del archivo

Tamaño de archivo

Fecha

Hora

Plataforma

Netlogon.dll

5.2.3790.573

419,328

08-Aug-2006

13:01

x86

Windows Server 2003, versiones basadas en Itanium

Nombre del archivo

Versión del archivo

Tamaño de archivo

Fecha

Hora

Plataforma

Tipo de servicio

Netlogon.dll

5.2.3790.573

959,488

07-Aug-2006

21:58

IA-64

RTMQFE

Wnetlogon.dll

5.2.3790.573

419,328

07-Aug-2006

22:01

x86

WOW

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a". Este problema se corrigió primero en Windows Server 2003 Service Pack 2.

Más información

Este problema se produce cuando las aplicaciones utilizan la autenticación NTLM heredada y no envían el dominio que está asociado con el usuario cuando se envía una solicitud de autenticación. Cuando el comportamiento heredado es requerido por el cliente de los controladores de dominio deben utilizar métodos heredados para localizar el dominio del usuario adecuado para que el dominio autorizado para que el usuario puede proporcionar una comprobación de las credenciales del usuario. El comportamiento heredado es una comunicación de red secuencial con el controlador de dominio de cada dominio de confianza. Este problema se agrava cuando hay un mayor número de dominios y números de solicitudes de autenticación falta la parte de dominio de las credenciales de los usuarios.


Este problema puede identificarse en Netlogon depuración del servicio se registra en los controladores de dominio buscando las entradas de SamLogon que muestran "< nulll > \username". Basta con buscar los registros de "\ < null >" revelará si el problema se está produciendo en todo.

Este problema puede empeorar cuellos de botella de rendimiento de autenticación heredados. Para obtener más información sobre la consulte el artículo de Knowledge Base:

Intermitentemente se solicitan las credenciales o experimentar tiempos de espera cuando se conecta a servicios autenticados

Para obtener más información acerca de un problema similar en Microsoft Windows 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Lsass.exe el proceso deja de responder si tiene muchas confianzas externas en un controlador de dominio basado en Windows 2000 Server

En algunas situaciones, problemas de rendimiento aún pueden aparecer incluso después de configurar la configuración de Neverping. En esos casos la MaxConcurrentApi configuración debe establecerse en un valor superior. Para obtener más información acerca de cómo calcular la mejor configuración de MaxConcurrentApi puede encontrarse en el siguiente artículo de Knowledge Base.

cómo ajustar el rendimiento de la autenticación NTLM mediante la opción MaxConcurrentApi

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×