Prosessen Lsass.exe kan slutte å svare hvis du har mange eksterne klareringer i et Active Directory-domenekontroller

Viktig Denne artikkelen inneholder informasjon om hvordan du endrer registret. Pass på at du sikkerhetskopierer registret før du endrer den. Kontroller at du vet hvordan du gjenoppretter registret hvis det oppstår et problem. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer, gjenoppretter og endrer registeret, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

beskrivelse av Microsoft Windows-registret

Symptomer

På en domenekontroller som kjører Microsoft Windows Server 2003, slutte lokal sikkerhet-godkjenningsserver (Lsass.exe)-prosessen å svare hvis følgende betingelser er oppfylt:

  • Du har mange eksterne klareringer og mange samtidige påloggingsforespørsler.

  • Disse påloggingsforespørsler angi ikke domenenavnet.

Flere symptomer kan være Trege eller forsinkede godkjenning for brukere som ber om eldre godkjenning (NTLM). I tillegg hvis du overvåker Netlogon-Ytelsesobjektet, kan semafor holder Gjennomsnittstid ytelsestelleren vise forsinkelser for brukere fra andre domener.

Årsak

Dette problemet oppstår fordi prosessen Lsass.exe går tom for ressurser hvis antall samtidige pålogginger multiplisert med antall klareringer er mer enn 1 000.

Oppløsning

Advarsel Det kan oppstå alvorlige problemer hvis du endrer registeret feilaktig ved å bruke Registerredigering eller en annen metode. Disse problemene kan kreve at du installerer operativsystemet på nytt. Microsoft garanterer ikke at disse problemene kan løses. Endre registret på eget ansvar.

Hvis du vil løse dette problemet, kan du bruke den nyeste oppdateringspakken for Windows Server 2003 eller følgende hurtigreparasjon. Deretter aktiverer du innstillingen for NeverPing .

Viktig Denne innstillingen kan føre til uønskede bivirkninger hvis du har klienter som ikke angir domenenavn i forespørsler om domenepålogging. Disse klientene kan inkludere Microsoft Windows 98-klienter og Outlook Web Access. Disse klientene fungerer om brukerkontoene at påloggingen ber om bruk i Windows Server 2003-domene eller i den globale katalogen. Problemer oppstår bare hvis det er en brukerkonto i et eksternt domene.

Hvis du vil aktivere innstillingen NeverPing , gjør du følgende:

  1. Klikk Start, klikk Kjør, Skriv inn Regedit, og klikk deretter OK.

  2. Finn følgende registerundernøkkel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  3. Høyreklikk denne undernøkkelen, velg Ny, og klikk deretter DWORD-verdi.

  4. Skriv inn NeverPing som navnet på register-oppføringen, og trykk deretter ENTER.

  5. Dobbeltklikk NeverPing, skriver du inn 1 i Verdidata -tekstboksen, og klikk deretter OK.

  6. Avslutt Registerredigering.

Informasjon om oppdateringspakke

Hvis du vil løse dette problemet ved å få tak i den nyeste oppdateringspakken for Windows Server 2003. Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

hvordan du får tak i den nyeste oppdateringspakken for Windows Server 2003

Informasjon om hurtigreparasjon

En støttet hurtigreparasjon er tilgjengelig fra Microsoft. Denne hurtigreparasjonen er imidlertid ment å løse problemet som er beskrevet i denne artikkelen. Bruk denne hurtigreparasjonen bare på systemer som har dette bestemte problemet. Denne hurtigreparasjonen kan gjennomgå ytterligere testing. Hvis du ikke er alvorlig påvirket av dette problemet, anbefaler vi derfor at du venter på neste programvareoppdatering som inneholder denne hurtigreparasjonen.

Hvis hurtigreparasjonen er tilgjengelig for nedlasting, finnes delen "Nedlasting av hurtigreparasjoner tilgjengelig" øverst i denne Knowledge Base-artikkelen. Hvis denne delen ikke vises, kan du kontakte Microsofts kundeservice og kundestøtte for å få hurtigreparasjonen.

Obs! Hvis det oppstår andre problemer, eller hvis feilsøkingstips, må du kanskje opprette en separat forespørsel om. Vanlige kundestøttekostnader gjelder for ytterligere kundestøttespørsmål og problemer som ikke dekkes av denne oppdateringen. For en fullstendig liste over telefonnumre for Microsofts kundeservice og kundestøtte eller opprette en separat forespørsel om, kan du gå til følgende Microsoft-webområde:

Obs! "Nedlasting av hurtigreparasjoner tilgjengelig"-skjemaet viser språk hurtigreparasjonen er tilgjengelig. Hvis du ikke ser språket ditt, er det fordi en hurtigreparasjon ikke er tilgjengelig for dette språket.

Forutsetninger

Det kreves ingen forutsetninger.

Krav om omstart

Du må starte datamaskinen etter at du har installert denne hurtigreparasjonen.

Informasjon om erstatning av hurtigreparasjoner

Denne hurtigreparasjonen erstatter ikke andre hurtigreparasjoner.

Filinformasjon

Den engelskspråklige versjonen av denne hurtigreparasjonen har filattributtene (eller senere filattributter) som er oppført i følgende tabell. Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Når du viser filinformasjonen, konverteres den til lokal tid. Hvis du vil finne forskjellen mellom UTC og lokal tid, kan du bruke kategorien tidssone under dato og klokkeslett i Kontrollpanel.

Windows Server 2003, x86-baserte versjoner

Filnavn

Filversjon

Filstørrelse

Dato

Tid

Plattform

Netlogon.dll

5.2.3790.573

419,328

08-Aug-2006

13:01

x86

Windows Server 2003 Itanium-baserte versjoner

Filnavn

Filversjon

Filstørrelse

Dato

Tid

Plattform

Avdeling

Netlogon.dll

5.2.3790.573

959,488

07-Aug-2006

21:58

IA-64

RTMQFE

Wnetlogon.dll

5.2.3790.573

419,328

07-Aug-2006

22:01

x86

WOW

Status

Microsoft har bekreftet at dette er et problem i Microsoft-produktene som er oppført i delen "Gjelder for". Dette problemet ble først løst i Windows Server 2003 Service Pack 2.

Hvis du vil ha mer informasjon

Dette problemet oppstår når programmer bruker eldre NTLM-godkjenning, og ikke sende domenet som brukeren er tilknyttet når de sender en forespørsel om godkjenning. Når eldre atferd er nødvendig av klienten bruker domenekontrollere eldre metoder til å finne den riktige brukerdomene slik at autoritative domenet for brukeren kan angi verifisering av brukerens legitimasjon. Den gamle virkemåten er en sekvensiell nettverkskommunikasjon med hvert domene domenekontrolleren klareringer. Dette problemet worsens når det er større antall domener og antall godkjenningsforespørsler mangler Domenedelen av brukere-legitimasjon.


Denne kommentaren kan identifiseres i Netlogon-tjenesten feilsøkingslogger for domenekontrollere ved å se etter SamLogon oppføringer som vises i "< nulll > \username". Søk bare i loggene for "< null > \" avslører om problemet er skjer i det hele tatt.

Denne kommentaren kan forverrer eldre godkjenning flaskehalser i ytelsen. Hvis du vil ha mer informasjon om dette, kan du se Knowledge Base-artikkel:

Du bedt bli om påloggingsinformasjon eller opplever tidsavbrudd når du kobler til godkjente tjenester

Hvis du vil ha mer informasjon om et lignende problem i Microsoft Windows 2000, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

i Lsass.exe-prosessen slutte å svare hvis du har mange eksterne klareringer på en Windows 2000 Server-basert domenekontroller

I noen situasjoner kan ytelsesproblemer fremdeles vises selv når du har konfigurert Neverping-innstillingen. I slike tilfeller av MaxConcurrentApi bør innstillingen angis til en høyere verdi. Du finner mer informasjon om hvordan du Estimerer MaxConcurrentApi-innstillingen gir best i Knowledge Base-artikkelen nedenfor.

hvordan du gjør ytelsesjustering for NTLM-godkjenning ved hjelp av innstillingen MaxConcurrentApi

Trenger du mer hjelp?

Utvid ferdighetene dine
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Microsoft Insiders

Var denne informasjonen nyttig?

Hvor fornøyd er du med kvaliteten på oversettelsen?

Hva påvirket opplevelsen din?

Har du ytterligere tilbakemeldinger? (valgfritt)

Takk for tilbakemeldingen!

×