verena123 0 Geschrieben 25. April 2019 Melden Teilen Geschrieben 25. April 2019 Hallo zusammen, ich hoffe ich bin hier richtig - das ist mein 1. Post. Ich betreue eine Umgebung bestehend aus einem AD-Forest (2 x Root-DC, 25 Subdomain-DC) - es kommen laufend neue Subdomains hinzu, letze Ausbaustufe sollten 60 DCs im Forest sein. Nun beobachte ich, dass der LSASS (Local Security Authority Process) sich superviel RAM nimmt, sodass der RAM auf den DCs immer zu ca 85% Prozent ausgelastet ist. Jeder DC ist DC, DNS, DHCP und hat eine Schulsoftware auf MS-Basis installiert und ist mit 12GB RAM bestückt. Ich habe versucht, testweise den RAM auf 20GB zu erhöhen -> der LSASS Prozess verbraucht dann eben noch mehr. Der großteil der Server hat W2K16 installiert, einige, wenige W2K12R2. Die Domainfunktionsebene und Gesamtstrukturfunktionsebene ist Windows SErver 2012 R2 Nun meine Frage - hätte jemand eine Idee, warum der Prozess soviel RAM verbrauchen könnte? Vielen Dank schonmal, LG aus Wien, Verena Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 25. April 2019 Melden Teilen Geschrieben 25. April 2019 Hallo und willkommen im Forum. Was ist der Hintergrund der Sub-Domains? Eigentlich sollte man dieses Design prinzipiell vermeiden. Welchen Patch-Stand haben die Server? Es gab mal einen Bug: https://support.microsoft.com/de-de/help/3155218/memory-leak-occurs-in-the-lsass-exe-process-after-you-install-security Es kann aber auch viele andere Ursachen haben, z.B.: https://blogs.msdn.microsoft.com/ntdebugging/2011/04/27/the-mystery-of-lsass-exe-memory-consumption-when-all-components-get-involved/ (Achtung: alter Beitrag) Zitieren Link zu diesem Kommentar
verena123 0 Geschrieben 25. April 2019 Autor Melden Teilen Geschrieben 25. April 2019 Hallo Zahni, danke für deine Antwort, ich werd mich mal durch die Links klicken! Grund der Sub-Domains war es - soweit ich weiß - dass nach einer Lösung gesucht wurde um Schulen einer Stadt in einer Tree - Umgebung abzubilden (Root Domain + jeweils pro Schule eine Subdomain) - leider habe ich dieses Projekt von einem Kollegen übernommen - die Designentscheidung wurde von den damaligen Verantwortlichen (Partnerfirma, die die Schulsoftware liefert und Projektleiter von uns) vor drei Jahren getroffen und jetzt sind wir quasi mitten im Projekt und die Probleme werden mehr. Alle Server haben den aktuellsten Patch-Stand. LG Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 25. April 2019 Melden Teilen Geschrieben 25. April 2019 (bearbeitet) Wichtig ist es, auf den DCs keine andere Software zu betreiben. Hier kannst Du auch mal mit spielen: https://support.microsoft.com/en-hk/help/2550044/how-to-troubleshoot-high-lsass-exe-cpu-utilization-on-an-active-direct bearbeitet 25. April 2019 von zahni Zitieren Link zu diesem Kommentar
verena123 0 Geschrieben 25. April 2019 Autor Melden Teilen Geschrieben 25. April 2019 Mir ist auch aufgefallen, dass die NTDS.DIT auf den Server 30GB ist - das ist trotz der vielen Domains zu groß oder. Könnte diese Tatsachen etwas mit dem LSASS Prozess gemein haben? LG Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 25. April 2019 Melden Teilen Geschrieben 25. April 2019 Ansonsten hast Du eventuell ein Problem, dass man nicht im Forum abhandeln kann. Du solltest Die hier kompetente Unterstützung suchen. Diese Multi-Domain-Konstruktion kann schnell nach hinten losgehen. Beachte beispielsweise, dass Du zwecks Ausfallsicherheit auch für die Sub-Domains jeweils mindestens 2 DC's betreiben solltest. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 25. April 2019 Melden Teilen Geschrieben 25. April 2019 Hallo Verena. 1. MS best practice: Die ntds sollte komplett ins RAM passen. Deine DCs bräuchten demnach derzeit ca. 40 GB RAM. Warum die so groß ist, läßt sich per Forum nicht beantworten. Ein Hinweis könnte der RID-Pool der einzelnen Domains geben - wo stehst Du da jeweils? Gibt es evtl. "unglückliche" Automations-Skripte, die heillos Objekte erstellen? Und dann wäre natürlich die Frage, wie viele Objekte insgesamt in diesen vielen Domänen vorhanden sind und ob es vielleicht andere Skripte gibt, die in AD-Attributen massig Informationen ablegen? Unser größtes AD hat über 200.000 User, da hat die ntds glaub so 6 oder 8 GB, kann ich morgen mal schauen. 2. Subdomains hat Zahni schon erwähnt. Ich formulier's mal drastischer: Die Firma, die das Design entwickelt hat, sollte sich umorientieren. Gebäudereinigung oder so wäre angebracht. Korrekt wäre ein Forest mit EINER Domain und geeignete OU-Strukturen. Wenn es irgend geht, versuch dieses Child Domain Chaos zu stoppen und alles in einer Domäne abzubilden. Single Domain, Single Forest - das ist das einzige mir bekannte Design, das dauerhaft tragfähig ist. Den Rest erledigt man ggf. mit Trusts. Ich weiß, daß Punkt 2 hart und sehr selbstbewußt klingt, aber ich hab schon viele AD-Umgebungen gesehen Und bei einigen wäre ich froh, sie nie gesehen zu haben 3 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 25. April 2019 Melden Teilen Geschrieben 25. April 2019 vor 4 Minuten schrieb daabm: Und bei einigen wäre ich froh, sie nie gesehen zu haben Aber dann könntest du nicht soviel erzählen ;) 1 Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 25. April 2019 Melden Teilen Geschrieben 25. April 2019 Du solltest ein Buch schreiben, ich würds lesen! Danke Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 25. April 2019 Melden Teilen Geschrieben 25. April 2019 Hat er ja ;) musst du nur kaufen... Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 25. April 2019 Melden Teilen Geschrieben 25. April 2019 @v-rtc guck mal hier: https://www.amazon.de/dp/3866456956 Gibt's natürlich auch woanders. Da MS aber die GPO-Expertise im MVP-Programm gestrichen hat und MS Press Deutschland vor Jahren schon dicht gemacht wurde, sieht es mit einem Nachfolger schlecht aus. 1 Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 26. April 2019 Melden Teilen Geschrieben 26. April 2019 @daabm - Martin, gibt es die Version auch Digital, nicht für Kindle? PDF oder ePub wäre schön. kannst mich ja mal direkt antriggern, wir müssen den Thread nicht weiter OT bringen... Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 26. April 2019 Melden Teilen Geschrieben 26. April 2019 vor 14 Stunden schrieb Nobbyaushb: @daabm - Martin, gibt es die Version auch Digital, nicht für Kindle? PDF oder ePub wäre schön. kannst mich ja mal direkt antriggern, wir müssen den Thread nicht weiter OT bringen... Schließe mich an vor 21 Stunden schrieb daabm: @v-rtc guck mal hier: https://www.amazon.de/dp/3866456956 Gibt's natürlich auch woanders. Da MS aber die GPO-Expertise im MVP-Programm gestrichen hat und MS Press Deutschland vor Jahren schon dicht gemacht wurde, sieht es mit einem Nachfolger schlecht aus. Wow, danke. Das ist natürlich sehr schade. Packt wäre keine Alternative? Oder einfach mal eins schreiben? Zitieren Link zu diesem Kommentar
verena123 0 Geschrieben 7. Mai 2019 Autor Melden Teilen Geschrieben 7. Mai 2019 Danke für eure Antworten. Das Projekt hab ich geerbt, über das Design bin ich gelinde gesagt auch nicht sehr glücklich. Zitat 1. MS best practice: Die ntds sollte komplett ins RAM passen. Deine DCs bräuchten demnach derzeit ca. 40 GB RAM. Warum die so groß ist, läßt sich per Forum nicht beantworten. Ein Hinweis könnte der RID-Pool der einzelnen Domains geben - wo stehst Du da jeweils? Gibt es evtl. "unglückliche" Automations-Skripte, die heillos Objekte erstellen? Und dann wäre natürlich die Frage, wie viele Objekte insgesamt in diesen vielen Domänen vorhanden sind und ob es vielleicht andere Skripte gibt, die in AD-Attributen massig Informationen ablegen? Unser größtes AD hat über 200.000 User, da hat die ntds glaub so 6 oder 8 GB, kann ich morgen mal schauen. Automations-Skripte - nein, hier gibt es pro Schule max 300 User und auch sonst nichts, was irgendwie offensichtlich wäre, warum die DB so explodiert. Zu RID: Ich habe mal bei zwei Domains gefragt: Vielen Dank, LG Verena Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 7. Mai 2019 Melden Teilen Geschrieben 7. Mai 2019 Das sind nahezu null Objekte - 2000 bis 3000 ist gar nichts. Hm - zu viele Domains? Ich hab keinerlei praktische Erfahrung mit Multi-Domain Forests, aber der globale Katalog muß halt auch in die NTDS rein. (Wir haben uns in 2001 für Single Domain Forests entschieden und sind damit prima gefahren, wir werden das niemals ändern ) Du könntest mal ein paar von den Treffern hier folgen: https://www.google.com/search?client=firefox-b-d&q=ntds.dit+determine+size+reasons Habt Ihr Benutzerbilder mit reingenommen? Irgendwas anderes, was viel Platz braucht? Ich weiß es nicht... 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.