Lsass Prozess - braucht viel Arbeitsspeicher

[verena123 0]

Hallo zusammen,

ich hoffe ich bin hier richtig - das ist mein 1. Post. 

 

Ich betreue eine Umgebung bestehend aus einem AD-Forest (2 x Root-DC, 25 Subdomain-DC) - es kommen laufend neue Subdomains hinzu, letze Ausbaustufe sollten 60 DCs im Forest sein. 

Nun beobachte ich, dass der LSASS (Local Security Authority Process) sich superviel RAM nimmt, sodass der RAM auf den DCs immer zu ca 85% Prozent ausgelastet ist. 

Jeder DC ist DC, DNS, DHCP und hat eine Schulsoftware auf MS-Basis installiert und ist mit 12GB RAM bestückt. Ich habe versucht, testweise den RAM auf 20GB zu erhöhen -> der LSASS Prozess verbraucht dann eben noch mehr. 

 

Der großteil der Server hat W2K16 installiert, einige, wenige W2K12R2. Die Domainfunktionsebene und Gesamtstrukturfunktionsebene ist Windows SErver 2012 R2 

 

Nun meine Frage - hätte jemand eine Idee, warum der Prozess soviel RAM verbrauchen könnte? 

 

Vielen Dank schonmal, LG aus Wien, Verena

 

[zahni 550]

Hallo und willkommen im Forum.

 

Was ist der Hintergrund der Sub-Domains? Eigentlich sollte man dieses Design prinzipiell vermeiden.

Welchen Patch-Stand haben die Server?

Es gab mal einen Bug:

https://support.microsoft.com/de-de/help/3155218/memory-leak-occurs-in-the-lsass-exe-process-after-you-install-security

 

Es kann aber auch viele andere Ursachen haben, z.B.:

 

https://blogs.msdn.microsoft.com/ntdebugging/2011/04/27/the-mystery-of-lsass-exe-memory-consumption-when-all-components-get-involved/  (Achtung: alter Beitrag)

[verena123 0]

Hallo Zahni, danke für deine Antwort, ich werd mich mal durch die Links klicken!

 

Grund der Sub-Domains war es - soweit ich weiß - dass nach einer Lösung gesucht wurde um Schulen einer Stadt in einer Tree - Umgebung abzubilden (Root Domain + jeweils pro Schule eine Subdomain) - leider habe ich dieses Projekt von einem Kollegen übernommen - die Designentscheidung wurde von den damaligen Verantwortlichen (Partnerfirma, die die Schulsoftware liefert und Projektleiter von uns) vor drei Jahren getroffen und jetzt sind wir quasi mitten im Projekt und die Probleme werden mehr.

Alle Server haben den aktuellsten Patch-Stand.

 

LG 

 

 

[zahni 550]

Wichtig ist es, auf den DCs keine andere Software zu betreiben. 

Hier kannst Du auch mal mit spielen:

 

https://support.microsoft.com/en-hk/help/2550044/how-to-troubleshoot-high-lsass-exe-cpu-utilization-on-an-active-direct

bearbeitet 25. April 2019 von zahni

[verena123 0]

Mir ist auch aufgefallen, dass die NTDS.DIT auf den Server 30GB ist - das ist trotz der vielen Domains zu groß oder. Könnte diese Tatsachen etwas mit dem LSASS Prozess gemein haben? LG 

[zahni 550]

Ansonsten hast Du eventuell ein Problem, dass man nicht im Forum abhandeln kann. Du solltest Die hier kompetente Unterstützung suchen.

Diese Multi-Domain-Konstruktion kann schnell nach hinten losgehen.

Beachte beispielsweise, dass Du zwecks Ausfallsicherheit auch für die Sub-Domains jeweils mindestens 2 DC's betreiben solltest.

 

[daabm 1.348]

Hallo Verena.

 

1. MS best practice: Die ntds sollte komplett ins RAM passen. Deine DCs bräuchten demnach derzeit ca. 40 GB RAM. Warum die so groß ist, läßt sich per Forum nicht beantworten. Ein Hinweis könnte der RID-Pool der einzelnen Domains geben - wo stehst Du da jeweils? Gibt es evtl. "unglückliche" Automations-Skripte, die heillos Objekte erstellen? Und dann wäre natürlich die Frage, wie viele Objekte insgesamt in diesen vielen Domänen vorhanden sind und ob es vielleicht andere Skripte gibt, die in AD-Attributen massig Informationen ablegen? Unser größtes AD hat über 200.000 User, da hat die ntds glaub so 6 oder 8 GB, kann ich morgen mal schauen.

 

2. Subdomains hat Zahni schon erwähnt. Ich formulier's mal drastischer: Die Firma, die das Design entwickelt hat, sollte sich umorientieren. Gebäudereinigung oder so wäre angebracht. Korrekt wäre ein Forest mit EINER Domain und geeignete OU-Strukturen. Wenn es irgend geht, versuch dieses Child Domain Chaos zu stoppen und alles in einer Domäne abzubilden. Single Domain, Single Forest - das ist das einzige mir bekannte Design, das dauerhaft tragfähig ist. Den Rest erledigt man ggf. mit Trusts.

 

Ich weiß, daß Punkt 2 hart und sehr selbstbewußt klingt, aber ich hab schon viele AD-Umgebungen gesehen Und bei einigen wäre ich froh, sie nie gesehen zu haben

[NorbertFe 2.027]

vor 4 Minuten schrieb daabm:

Und bei einigen wäre ich froh, sie nie gesehen zu haben

Aber dann könntest du nicht soviel erzählen ;)

[v-rtc 88]

Du solltest ein Buch schreiben, ich würds lesen! Danke

[NorbertFe 2.027]

Hat er ja ;) musst du nur kaufen...

[daabm 1.348]

@v-rtc guck mal hier: https://www.amazon.de/dp/3866456956

Gibt's natürlich auch woanders. Da MS aber die GPO-Expertise im MVP-Programm gestrichen hat und MS Press Deutschland vor Jahren schon dicht gemacht wurde, sieht es mit einem Nachfolger schlecht aus.

[Nobbyaushb 1.464]

@daabm - Martin, gibt es die Version auch Digital, nicht für Kindle? PDF oder ePub wäre schön.
kannst mich ja mal direkt antriggern, wir müssen den Thread nicht weiter OT bringen...

[v-rtc 88]

vor 14 Stunden schrieb Nobbyaushb:

@daabm - Martin, gibt es die Version auch Digital, nicht für Kindle? PDF oder ePub wäre schön.
kannst mich ja mal direkt antriggern, wir müssen den Thread nicht weiter OT bringen...

Schließe mich an 

vor 21 Stunden schrieb daabm:

@v-rtc guck mal hier: https://www.amazon.de/dp/3866456956

Gibt's natürlich auch woanders. Da MS aber die GPO-Expertise im MVP-Programm gestrichen hat und MS Press Deutschland vor Jahren schon dicht gemacht wurde, sieht es mit einem Nachfolger schlecht aus.

Wow, danke.

 

Das ist natürlich sehr schade. Packt wäre keine Alternative? Oder einfach mal eins schreiben? 

 

[verena123 0]

Danke für eure Antworten. Das Projekt hab ich geerbt, über das Design bin ich gelinde gesagt auch nicht sehr glücklich. 

 

 

Zitat

1. MS best practice: Die ntds sollte komplett ins RAM passen. Deine DCs bräuchten demnach derzeit ca. 40 GB RAM. Warum die so groß ist, läßt sich per Forum nicht beantworten. Ein Hinweis könnte der RID-Pool der einzelnen Domains geben - wo stehst Du da jeweils? Gibt es evtl. "unglückliche" Automations-Skripte, die heillos Objekte erstellen? Und dann wäre natürlich die Frage, wie viele Objekte insgesamt in diesen vielen Domänen vorhanden sind und ob es vielleicht andere Skripte gibt, die in AD-Attributen massig Informationen ablegen? Unser größtes AD hat über 200.000 User, da hat die ntds glaub so 6 oder 8 GB, kann ich morgen mal schauen.

Automations-Skripte - nein, hier gibt es pro Schule max 300 User und auch sonst nichts, was irgendwie offensichtlich wäre, warum die DB so explodiert.

 

Zu RID:

Ich habe mal bei zwei Domains gefragt:

 

 

Vielen Dank,

LG Verena 

[daabm 1.348]

Das sind nahezu null Objekte - 2000 bis 3000 ist gar nichts. Hm - zu viele Domains? Ich hab keinerlei praktische Erfahrung mit Multi-Domain Forests, aber der globale Katalog muß halt auch in die NTDS rein. (Wir haben uns in 2001 für Single Domain Forests entschieden und sind damit prima gefahren, wir werden das niemals ändern )

 

Du könntest mal ein paar von den Treffern hier folgen: https://www.google.com/search?client=firefox-b-d&q=ntds.dit+determine+size+reasons

 

Habt Ihr Benutzerbilder mit reingenommen? Irgendwas anderes, was viel Platz braucht? Ich weiß es nicht...