Lsass.exe プロセスが、Active Directory ドメイン コント ローラーに多くの外部の信頼がある場合に応答を停止することがあります。

適用対象: Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)Microsoft Windows Server 2003 Datacenter Edition (32-bit x86)

重要 この資料には、レジストリを変更する方法に関する情報が含まれています。変更する前に、レジストリをバックアップすることを確認します。問題が発生した場合にレジストリを復元する方法を必ず知っておいてください。バックアップ、復元、およびレジストリを変更する方法の詳細については、次の文書番号をクリックして、マイクロソフト サポート技術資料を参照してください。
256986 Microsoft Windows レジストリ説明

現象


ドメイン コント ローラーは Microsoft Windows Server 2003 を実行している、ローカル セキュリティ認証サーバー (Lsass.exe) プロセスが応答しなく、次の条件に該当するかどうか。
  • 多くの外部の信頼と多数の同時ログオン要求があります。
  • これらのログオン要求は、ドメイン名を指定しません。
その他の現象が遅れる可能性があります従来の認証 (NTLM) を要求するユーザーを認証します。さらに、Netlogon のパフォーマンス オブジェクトを監視するには、セマフォの平均保留時間のパフォーマンス カウンターが示されます遅延ユーザーに他のドメインから。

原因


この問題は、信頼関係の数を掛けて、同時ログオンの数は、1,000 を超える場合に、Lsass.exe プロセスがリソースが不足するために発生します。

解決策


警告: [レジストリ エディタ] または別の方法を使用してレジストリを誤って修正すると、深刻な問題が発生することがあります。これらの問題は、オペレーティング システムを再インストールする必要があります。マイクロソフトは、これらの問題を解決できることを保証することはできません。自己の責任においてレジストリを変更してください。

この問題を解決するには、Windows Server 2003 または以下の修正プログラムの最新の service pack を適用します。NeverPing設定を有効にします。

重要 この設定で、ログオン要求にドメイン名が指定されていないクライアントがある場合、望ましくない副作用が生じる場合があります。これらのクライアントは、Microsoft Windows 98 ベースのクライアントおよび Outlook Web Access を含めることができます。Windows Server 2003 ドメインまたはグローバル カタログには、ユーザー アカウントがログオンに使用を要求する場合、これらのクライアントが正常に動作します。ユーザー アカウントが外部ドメインの場合にのみ問題が発生します。

NeverPing設定を有効にするには、次の手順に従います。
  1. [スタート] ボタン、[実行] をクリックして、 Regeditと入力し、[ OK] をクリックします。
  2. 次のレジストリ サブキーを見つけます。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. このサブキーを右クリックし、新規作成] をポイントし、[ DWORD 値] をクリックします。
  4. NeverPingレジストリ エントリの名前を入力し、ENTER キーを押します。
  5. NeverPingをダブルクリックして、値のデータ] テキスト ボックスに1と入力し、[ OK] をクリックします。
  6. レジストリ エディターを終了します。

Service Pack 情報

この問題を解決するには、Windows Server 2003 の最新の service pack を入手します。詳細については、次の文書番号をクリックして、マイクロソフト サポート技術情報の資料をご参照ください。
889100 Windows Server 2003 の最新の service pack の入手方法

修正プログラムの情報

サポートされている修正プログラムは、マイクロソフトから入手可能です。ただし、この修正プログラムは、ここで説明する問題のみを修正することを目的としたものです。この問題が発生しているシステムにのみ適用してください。この修正プログラムは、今後さらにテストを行う場合があります。したがって、この問題の影響が深刻でない場合は、この修正プログラムが含まれる次のソフトウェア更新プログラムがリリースされるまで待つことをお勧めします。

修正プログラムをダウンロードできる場合は、このサポート技術情報の資料の上部に「修正プログラムのダウンロード」セクションがあります。このセクションが表示されていない場合は、マイクロソフト カスタマー サービス サポートにお問い合わせのうえ、修正プログラムを入手してください。

注: さらなる問題が発生した場合、またはトラブルシューティングが必要な場合には、別のサービス リクエストの作成が必要な場合があります。この修正プログラムの対象外の追加の質問および問題については、通常のサポート料金が適用されます。一覧マイクロソフト カスタマー サービス & サポートの電話番号または別のサービス リクエストを作成する、次のマイクロソフト Web サイトを参照してください。注: [修正プログラムのダウンロード] フォームには、修正プログラムが提供されている言語が表示されます。お使いの言語が表示されない場合は、その言語の修正プログラムが利用できないためです。

必要条件

前提条件が必要ではありません。

再起動の必要性

この修正プログラムの適用後、コンピューターを再起動する必要があります。

修正プログラムの置き換えに関する情報

この修正プログラムによって他の修正プログラムが置き換わることはありません。

ファイル情報

修正プログラム (英語版) のファイル属性は次表のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。ファイル情報に表示される時刻は、ローカル時刻に変換されています。UTC とローカル時間の時差を確認するには、コントロール パネルの [日付と時刻] で、[タイム ゾーン] タブを使用します。
Windows Server 2003 では、x86 ベースのバージョン
ファイル名ファイル バージョンファイル サイズ日付時刻プラットフォーム
Netlogon.dll5.2.3790.573419,32808-Aug-200613:01x86
Windows Server 2003 では、Itanium ベースのバージョン
ファイル名ファイル バージョンファイル サイズ日付時刻プラットフォームサービス区分
Netlogon.dll5.2.3790.573959,48807-Aug-200621:58IA-64RTMQFE
Wnetlogon.dll5.2.3790.573419,32807-Aug-200622:01x86WOW

状況


マイクロソフトでは、対象セクションに記載されているマイクロソフト製品の問題があること確認していますこの問題は、Windows Server 2003 Service Pack 2 で最初に修正されました

詳細


この問題は、アプリケーションは、従来の NTLM 認証を使用し、認証要求を送信するときにユーザーが関連付けられたドメインを送信しない場合に発生します。クライアントでレガシ動作が必要な場合、ドメイン コント ローラーは、そのユーザーの権限のあるドメインは、ユーザーの資格情報の検証を提供できるように、ユーザーの適切なドメインを検索する従来の方法を使用する必要があります。従来の動作では、各ドメインのドメイン コント ローラーとの連続したネットワーク通信の信頼関係です。ドメインの数が増大し、ユーザーの資格情報のドメイン部分が不足している認証要求の数がある場合に、この問題が悪化します。


Netlogon がドメイン コント ローラー"< nulll > \username"の表示を指定する SamLogon エントリを検索してログオン サービスのデバッグでは、この問題を識別できます。「< Null > \」のログを検索するには、問題が発生しているすべての表示されます。

この問題は、従来の認証のパフォーマンスのボトルネックを悪化できます。詳細については、サポート技術情報の記事を参照してください。

975363資格情報が断続的に要求または認証サービスに接続するときにタイムアウトが発生します。

詳細については Microsoft Windows 2000 で同様の問題について、マイクロソフト サポート技術情報の記事を表示するのには次の資料番号をクリックします。

825107 Lsass.exe プロセスが応答を停止、Windows 2000 Server ベースのドメイン コント ローラーに多くの外部の信頼がある場合

状況によっては、パフォーマンスの問題が依然 Neverping を設定した後でも表示されます可能性があります。ような場合は、MaxConcurrentApi を大きい値に設定を設定する必要があります。最適な MaxConcurrentApi 設定を評価する方法の詳細については、以下のサポート技術情報の記事を参照しています。

MaxConcurrentApi 設定を使用して、NTLM 認証のパフォーマンス ・ チューニングを実行する方法を2688798