Процесс Lsass.exe может перестать отвечать на запросы при наличии многих внешних доверий на контроллере домена Active Directory

Применимо к: Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)Microsoft Windows Server 2003 Datacenter Edition (32-bit x86)

Важно. Эта статья содержит сведения об изменении реестра. Убедитесь, что Вы создали резервную копию реестра перед внесением изменений. Убедитесь, что вы знаете, как восстановить реестр в случае возникновения проблем. Дополнительные сведения о том, как сделать резервное копирование, восстановление и изменение реестра, см. в следующей статье базы знаний Майкрософт:
256986 описание реестра Microsoft Windows

Симптомы


На контроллере домена под управлением Microsoft Windows Server 2003 сервер проверки подлинности локальной системы безопасности (Lsass.exe) процесс может перестать отвечать, если выполняются следующие условия:
  • У вас есть много внешних доверий и много запросов одновременного входа в систему.
  • Эти запросы на вход в систему следует указывать имя домена.
Дополнительные признаки могут быть медленными или отложенной проверки подлинности для пользователей, запрашивающих проверки подлинности (NTLM). Кроме того если наблюдение за объектом производительности службы входа в сеть, среднее время хранения семафора счетчик производительности может показать задержки для пользователей из других доменов.

Причина


Эта проблема возникает из-за процесса Lsass.exe исчерпает свои ресурсы, если количество одновременных входов, умноженному на количество доверие более 1000.

Решение


Предупреждение При неправильном изменении реестра с помощью редактора реестра или иным способом могут возникнуть серьезные проблемы. Эти проблемы могут потребовать переустановки операционной системы. Корпорация Майкрософт не гарантирует, что эти проблемы можно решить. Вносите изменения в реестр на ваш собственный риск.

Чтобы устранить эту проблему, примените последний пакет обновления для Windows Server 2003 или указанное ниже исправление. Включите параметр NeverPing .

Важно. Этот параметр может вызвать нежелательные побочные эффекты, если у вас есть клиенты, которые не указывают доменных имен в запросах входа. Эти клиенты могут включать клиентов Microsoft Windows 98 и Outlook Web Access. Эти клиенты работать правильно, если запросы, входа в систему использовать учетные записи пользователей в домене Windows Server 2003 или в глобальном каталоге. Проблемы возникают только в том случае, если учетная запись пользователя находится в внешнего домена.

Чтобы включить параметр NeverPing , выполните следующие действия.
  1. Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
  2. Найдите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. Щелкните этот раздел правой кнопкой мыши, выберите команду Создатьи щелкните Значение DWORD.
  4. Введите имя параметра реестра NeverPing и нажмите клавишу ВВОД.
  5. Дважды щелкните NeverPing, введите 1 в поле значение и нажмите кнопку ОК.
  6. Закройте редактор реестра.

Сведения о пакете обновления

Чтобы устранить эту проблему, получите последний пакет обновления для Windows Server 2003. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
889100 как получить последний пакет обновления для Windows Server 2003

Сведения об исправлении

Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте данное исправление только в тех системах, которые имеют данную проблему. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.

Если исправление доступно для скачивания, имеется раздел "Пакет исправлений доступен для скачивания" в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.

Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание посетите следующий веб-узел корпорации Майкрософт:Примечание. В форме "Пакет исправлений доступен для скачивания" отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.

Предварительные условия

Для установки предварительные компоненты не требуются.

Необходимость перезагрузки

После установки исправления компьютер необходимо перезагрузить.

Сведения о замене исправлений

Это исправление не заменяет других исправлений.

Сведения о файлах

Английская версия данного исправления содержит атрибуты файла (или более поздние атрибуты файлов), приведенные в следующей таблице. Дата и время для этих файлов указаны в формате общего скоординированного времени (UTC). При просмотре сведений о файле, он преобразуется в локальное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, откройте вкладку Часовой пояс элемента "Дата и время" панели управления.
Windows Server 2003 для систем на базе x86
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформа
Netlogon.dll5.2.3790.573419,32808-Aug-200613:01x86
Windows Server 2003 для систем на базе процессоров Itanium
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформаНаправление поддержки
Netlogon.dll5.2.3790.573959,48807-Aug-200621:58IA-64RTMQFE
Wnetlogon.dll5.2.3790.573419,32807-Aug-200622:01x86WOW

Статус


Корпорация Майкрософт подтвердила, что это является проблемой в продуктах Майкрософт, перечисленных в разделе «Относится к». Впервые Эта ошибка была исправлена в Windows Server 2003 Пакет обновления 2.

Дополнительные сведения


Эта проблема возникает, если приложения с помощью проверки подлинности NTLM и не отправлять домена, в котором пользователь сопоставлен при отправке запроса на проверку подлинности. Когда клиенту требуются устаревшее поведение контроллеров домена необходимо использовать устаревшие методы найти правильный домен пользователя, уполномоченного домена для этого пользователя можно предоставить проверки учетных данных пользователя. Устаревшее поведение является последовательным сетевого взаимодействия с каждого домена контроллеру домена доверительные отношения. Эта проблема обостряется, когда существует больше числа доменов и числа запросов проверки подлинности отсутствует часть домена учетные данные пользователей.


Эта проблема может быть идентифицирован в журнале отладки службы на контроллерах домена путем поиска записи SamLogon, отображающие «< nulll > \username» Netlogon. Просто поиск в журналах «\ < null >» Показать Если проблема не возникнет вообще.

Этой проблемы можно ухудшают узкие места производительности проверки подлинности. Дополнительные сведения об этом можно найти в статье базы знаний Майкрософт:

975363 Периодически запрашиваться учетные данные или возникнуть время ожидания при подключении к службам проверки подлинности

Дополнительные сведения о подобных проблемах в Microsoft Windows 2000 щелкните следующий номер статьи базы знаний Майкрософт:

825107 процесс Lsass.exe может перестать отвечать при наличии многих внешних доверий на контроллере домена под управлением Windows 2000 Server

В некоторых случаях проблем производительности может по-прежнему отображаться даже после настройки параметра Neverping. В этих случаях MaxConcurrentApi параметр должно быть присвоено более высокое значение. Дополнительные сведения о том, как оценить MaxConcurrentApi оптимальные настройки можно найти в указанной ниже статье базы знаний.

2688798 способ оптимизации производительности для проверки подлинности NTLM с помощью параметра MaxConcurrentApi