4
Local Security Authority Process - Hohe RAM Auslastung
hallo Zusammen,
ich habe eine Frage bzgl. AD - Forest + Local Security Authority Process.
Ich habe eine AD Infrastruktur eines Kollegen "geerbt", die schaut so aus:
- ESXI Cluster beim Kunden im Rechenzentrum
- AD Forest bestehend aus zwei Root-DCs (edu.XXX.at) und im Moment 25 Sub-DCs ( gXXX.edu.XXX.at), es kommen laufend neue dazu, bis Ende des Jahres sollten es 60 sein.
- Die Domains bilden Schulen einer Stadt ab und eine "Schule" besteht aus 1 x DC (Windows Server 2016) + 1 x Linux IPFire (Proxy + Firwall)
Auf jedem DC läuft eine Schulsoftware (Microsoftbasierend), DNS, DHCP, AD,
Mir ist nun aufgefallen, dass der Local Security Authority Process viel RAM "frisst" , das heißt: den DCS ist jeweils 12GB RAM zugewiesen, der Process nimmst sich ca 5-6 GB und somit ist die Auslastung immer zwischen 90 & 100%
Ich bin mir nun nicht sicher ob das "normal" ist und ich überall den RAM erhöhen soll, bzw. wieso dieser Prozess soviel RAM braucht.
Ich würde mich über Inputs und Meinungen freuen, danke LG Verena
ich habe eine Frage bzgl. AD - Forest + Local Security Authority Process.
Ich habe eine AD Infrastruktur eines Kollegen "geerbt", die schaut so aus:
- ESXI Cluster beim Kunden im Rechenzentrum
- AD Forest bestehend aus zwei Root-DCs (edu.XXX.at) und im Moment 25 Sub-DCs ( gXXX.edu.XXX.at), es kommen laufend neue dazu, bis Ende des Jahres sollten es 60 sein.
- Die Domains bilden Schulen einer Stadt ab und eine "Schule" besteht aus 1 x DC (Windows Server 2016) + 1 x Linux IPFire (Proxy + Firwall)
Auf jedem DC läuft eine Schulsoftware (Microsoftbasierend), DNS, DHCP, AD,
Mir ist nun aufgefallen, dass der Local Security Authority Process viel RAM "frisst" , das heißt: den DCS ist jeweils 12GB RAM zugewiesen, der Process nimmst sich ca 5-6 GB und somit ist die Auslastung immer zwischen 90 & 100%
Ich bin mir nun nicht sicher ob das "normal" ist und ich überall den RAM erhöhen soll, bzw. wieso dieser Prozess soviel RAM braucht.
Ich würde mich über Inputs und Meinungen freuen, danke LG Verena
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 443613
Url: https://administrator.de/contentid/443613
Printed on: April 26, 2024 at 05:04 o'clock
4 Comments
Latest comment
vermutlich kriegt der Server sehr viele Loginanforderungen weil er der aktive Logonserver ist oder ist geade Opfer einer automatisierten Paßwortattacke.
Windows räumt den Arbeitsspeicher von Prozessen sonst nur auf wenn sie längere Zeit inaktiv sind, deshalb ist der hohe Speicherverbrauch wahrscheinlich nur das Symptom
Windows räumt den Arbeitsspeicher von Prozessen sonst nur auf wenn sie längere Zeit inaktiv sind, deshalb ist der hohe Speicherverbrauch wahrscheinlich nur das Symptom
Hallo Verena,
mehrere Gigs sollte der eigentlich nicht fressen.
Hast du schon geprüft, ob der Prozess wirklich der originale ist?
Schau mal ob das Ding wirklich in C:\Windows\System32 liegt.
Falls nicht wäre Malware warscheinlich.
Grüße
Bloody
mehrere Gigs sollte der eigentlich nicht fressen.
Hast du schon geprüft, ob der Prozess wirklich der originale ist?
Schau mal ob das Ding wirklich in C:\Windows\System32 liegt.
Falls nicht wäre Malware warscheinlich.
Grüße
Bloody
HI Bloody, danke für deinen Kommentar, das hab ich schon geprüft, es ist der Originale LSASS Prozess. Und es tritt bei ausschließlich allen Servern der Root + Subdomains auf, was mich irgendwie unrund macht. LG Verena
Hallo GrueneSosseMitSpeck und danke für deine Antwort.
Jeder der Server bildet eine Schule ab und ich habe das Verhalten bei ausschließlich jedem Server über die Osterferien beobachtet - in der Zeit, in der es keine Loginanforderung gab (vielleicht mal eine von einem sehr fleißigem Direktor) ... Könnte es sein, dass eine automatisierte PWAttacke im gesamten Forest um sich greift bzw. wie könnte ich dem auf die Schlliche kommen?
Ich habe testweise mal versucht einem der Server mehr RAM zuzuweisen (20GB) - siehe da der Prozess nimmt sich 9GB RAM.
Jeder der Server bildet eine Schule ab und ich habe das Verhalten bei ausschließlich jedem Server über die Osterferien beobachtet - in der Zeit, in der es keine Loginanforderung gab (vielleicht mal eine von einem sehr fleißigem Direktor) ... Könnte es sein, dass eine automatisierte PWAttacke im gesamten Forest um sich greift bzw. wie könnte ich dem auf die Schlliche kommen?
Ich habe testweise mal versucht einem der Server mehr RAM zuzuweisen (20GB) - siehe da der Prozess nimmt sich 9GB RAM.
