Użycie pamięci przez proces Lsass.exe na kontrolerach domeny z systemem Windows Server 2003 lub Windows 2000 Server

Streszczenie

W tym artykule podano niektóre z podstawowych informacji o procesie Lsass.exe, najważniejsze wskazówki dotyczące jego konfiguracji oraz oczekiwania dotyczące użycia pamięci. Ten artykuł powinien służyć jako przewodnik podczas analizy wydajności procesu Lsass.exe i użycia pamięci na kontrolerach domeny, na których jest uruchomiony system Microsoft Windows Server 2003 lub Microsoft Windows 2000 Server. Informacje, które podano w tym artykule, mogą być użyteczne podczas dostrajania i konfigurowania serwerów oraz kontrolerów domeny w celu zoptymalizowania tego aparatu.

Proces Lsass.exe odpowiada za zarządzanie uwierzytelnianiem domeny urzędu zabezpieczeń lokalnych i zarządzanie usługą Active Directory. Proces ten obsługuje uwierzytelnianie zarówno klienta, jak i serwera, a także steruje aparatem usługi Active Directory. Proces Lsass.exe odpowiada za działanie następujących składników:
  • Urząd zabezpieczeń lokalnych
  • Usługa Logowanie do sieci
  • Usługa Menedżer kont zabezpieczeń
  • Usługa Serwer LSA
  • Protokół SSL (Secure Sockets Layer)
  • Protokół uwierzytelniania Kerberos v5
  • Protokół uwierzytelniania NTLM

Więcej informacji

Ograniczanie lub minimalizowanie liczby programów na danym kontrolerze domeny

W celu zapewnienia optymalnej wydajności proces Lsass.exe rezerwuje możliwie największą ilość pamięci RAM dostępną na danym serwerze lub kontrolerze domeny. Proces Lsass.exe zwalnia tę pamięć RAM na żądanie innych procesów. Chodzi o to, aby optymalizować wydajność procesu Lsass.exe przy jednoczesnym uwzględnianiu innych procesów, które mogą być uruchomione na komputerze. Z tego powodu oraz w celu zwiększenia wydajności warto jest ograniczyć do minimum liczbę programów na kontrolerze domeny. Jeśli nie ma żądań o zwolnienie pamięci, proces Lsass.exe korzysta z tej pamięci, przechowując w niej dane, których dotyczą kwerendy.

Korzystanie z narzędzi Active Directory Sizer (Adsizer.exe) i ADTEST

Za pomocą narzędzia Adsizer.exe można oszacować ilość pamięci niezbędną do działania kontrolerów domen w zależności od ich funkcji. Taki test ma charakter wyłącznie szacunkowy, ponieważ narzędzie Adsizer.exe nie potrafi przewidzieć dokładnej ilości pamięci, która będzie potrzebna wszystkim procesom. Za pomocą narzędzia ADTEST można przetestować wydajność kontrolerów domeny i określić wyjściowe wartości dla oczekiwanego użycia pamięci oraz jej obciążenia.

32-bitowy obszar adresowania jest ograniczony do rozmiaru 4 gigabajtów (GB)

32-bitowy obszar adresowania jest ograniczony do 4 GB pamięci fizycznej.

Monitorowanie użycia pamięci przez proces Lsass.exe za pomocą liczników

Użycie zasobów przez proces Lsass.exe można monitorować za pomocą obiektu zadania, licznika użycia procesora (80% użycia procesora oznacza duże obciążenie), narzędzia adperf oraz procesów-policjantów. Liczniki dotyczą pamięci, procesu, obiektu NTDS, pamięci podręcznej, serwera, procesora, wątków i bazy danych.

Korzystanie z systemu Windows Server 2003 lub Windows 2000 Server

Planując korzystanie na kontrolerze domeny z więcej niż 1 GB pamięci fizycznej, należy zainstalować na nim system Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition; Windows Server 2003 Datacenter Edition, Windows 2000 Advanced Server lub Windows 2000 Datacenter Server. W tych wersjach systemu za pomocą przełącznika /3GB w pliku %Dysk_systemowy%\Boot.ini można udostępnić dodatkowy 1 GB pamięci możliwej do zaadresowania. Jeśli jednak ten przełącznik zostanie użyty w systemie Windows 2000 Server, ten obszar pamięci zostanie oznaczony jako niedostępny.

Przestroga Firma Microsoft popiera użycie przełącznika /3GB w systemie Windows Server 2003 Standard Edition w środowisku produkcyjnym na potrzeby usługi Active Directory. W przypadku innych aplikacji firma Microsoft popiera użycie przełącznika /3GB w systemie Windows Server 2003 Standard Edition w środowisku produkcyjnym pod warunkiem, że producent aplikacji przetestował ją w tym środowisku i jest gotowy świadczyć pomoc techniczną klientowi korzystającemu z tej funkcji. Korzystanie z tej funkcji przez programy Microsoft Exchange Server 2003 i Microsoft SQL Server 2000 w środowisku produkcyjnym jest obsługiwane. Skontaktuj się z producentem swojej aplikacji, aby uzyskać informacje na jej temat. Przełącznik /3GB może powodować w pewnych aplikacjach problemy związane z zależnością między adresami lub ograniczeniem miejsca w jądrze. Z wyjątkiem przypadków opisanych wyżej, przełącznik /3GB w systemie Windows Server 2003 Standard Edition służy jedynie do celów związanych z testowaniem i opracowywaniem.

Uwagi
  • Zalecamy ostrożność przy korzystaniu z przełącznika /3GB, ponieważ ogranicza on liczbę wpisów tabeli stron (PTE).
  • Przełącznik /3GB jest potrzebny tylko w architekturze 32-bitowej. W architekturze 64-bitowej jest niepotrzebny.
Aby uzyskać więcej informacji dotyczących dostrajania konfiguracji pamięci, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

291988 A description of the 4 GB RAM tuning feature and the Physical Address Extension switch

Informacje dotyczące pamięci

Użycie pamięci przez proces Lsass na kontrolerach domeny dzieli się na dwie zasadnicze części: stałą i zmienną.

Na część stałą składają się: kod, stosy, sterty i różne struktury danych o niezmiennym rozmiarze (na przykład bufor schematu). Ilość pamięci używanej przez proces Lsass może być różna w zależności od obciążenia komputera. Im większa liczba uruchomionych wątków, tym większa liczba stosów pamięci. Proces Lsass.exe wykorzystuje zwykle od 100 do 300 MB pamięci. Ilość ta nie zmienia się, bez względu na ilość pamięci RAM zainstalowanej w komputerze. Jednak po zainstalowaniu większej ilości pamięci RAM proces Lsass ma możność korzystania z pamięci fizycznej częściej niż z pamięci wirtualnej.

Część zmienną stanowi pamięć podręczna buforu bazy danych. Rozmiar pamięci podręcznej może wynosić od mniej niż 1 MB aż do wartości równej rozmiarowi całej bazy danych. Ponieważ większy rozmiar pamięci podręcznej poprawia wydajność, aparat bazy danych usługi AD (ESENT) próbuje zarezerwować możliwie największą ilość pamięci podręcznej. O ile rozmiar pamięci podręcznej różni się w zależności od użycia pamięci w komputerze, to maksymalny rozmiar pamięci podręcznej jest ograniczony zarówno ilością fizycznej pamięci RAM zainstalowanej w komputerze, jak i rozmiarem wirtualnej przestrzeni adresowej (VA, virtual address space). Usługa AD wykorzystuje na pamięć podręczną tylko pewną część całkowitej przestrzeni VA. Maksymalny rozmiar przestrzeni VA dostępny dla usługi AD można określić następującym wzorem:
((całkowity_rozmiar_przestrzeni_VA – 1GB) / 2)
Uwaga Ten wzór dotyczy wyłącznie systemu Windows 2000. W systemie Windows Server 2003 model pamięci usługi LSASS jest inny i ilość pamięci podręcznej zmienia się dynamicznie. Maksymalne użycie pamięci wzrosło do 2,6 GB, ale wartość tę przyjęto na podstawie założenia, że inne procesy usługi LSASS nie potrzebują pamięci.


Oznacza to, że na komputerze z procesorem x86, na którym nie użyto przełącznika /3GB, maksymalny rozmiar pamięci podręcznej wynosi 512 MB lub jest równy ilości fizycznej pamięci RAM (w zależności od tego, która wartość jest mniejsza). Po użyciu przełącznika /3GB maksymalny rozmiar pamięci podręcznej wzrasta do 1 GB lub jest równy ilości fizycznej pamięci RAM (w zależności od tego, która wartość jest mniejsza). Oznacza to, że przełącznik /3GB warto jest stosować wtedy, gdy ilość fizycznej pamięci RAM przekracza 600 MB (500 MB na pamięć podręczną i dodatkowo 100 MB na część stałą). W systemach 64-bitowych, takich jak IA64, rozmiar pamięci podręcznej jest w zasadzie ograniczony wyłącznie rozmiarem pamięci RAM, a dział projektów firmy Microsoft testuje działanie systemów o pamięci podręcznej przekraczającej 9 GB.

Korzystanie z usługi Active Directory zwiększa użycie pamięci

Ilość pamięci, z której korzysta proces Lsass.exe, rośnie wraz ze wzrostem użycia usługi Active Directory. Dane, których dotyczą kwerendy, są buforowane w pamięci.

Maksymalne użycie pamięci fizycznej przez proces Lsass.exe i usługę Active Directory

Maksymalny rozmiar pamięci fizycznej używanej przez proces Lsass.exe i usługę Active Directory wynosi 2 GB.

Dodatkowe informacje o dostrajaniu kontrolerów domeny

Zasady kwerend protokołu LDAP

271088 Optimizing Windows 2000 Active Directory servers with six or eight processors to run with Exchange 2000

Wyłączanie usługi AutoSiteCoverage

Zobacz zestaw Windows 2000 Resource Kit.

Ograniczanie procesu KCC

244368 How to optimize Active Directory replication in a large network

Właściwości

Identyfikator artykułu: 308356 — ostatni przegląd: 16.01.2008 — zmiana: 1

Opinia