eisshake1
Goto Top

Local Security Authority Process - Hohe RAM Auslastung

hallo Zusammen,

ich habe eine Frage bzgl. AD - Forest + Local Security Authority Process.

Ich habe eine AD Infrastruktur eines Kollegen "geerbt", die schaut so aus:

- ESXI Cluster beim Kunden im Rechenzentrum

- AD Forest bestehend aus zwei Root-DCs (edu.XXX.at) und im Moment 25 Sub-DCs ( gXXX.edu.XXX.at), es kommen laufend neue dazu, bis Ende des Jahres sollten es 60 sein.

- Die Domains bilden Schulen einer Stadt ab und eine "Schule" besteht aus 1 x DC (Windows Server 2016) + 1 x Linux IPFire (Proxy + Firwall)
Auf jedem DC läuft eine Schulsoftware (Microsoftbasierend), DNS, DHCP, AD,

Mir ist nun aufgefallen, dass der Local Security Authority Process viel RAM "frisst" , das heißt: den DCS ist jeweils 12GB RAM zugewiesen, der Process nimmst sich ca 5-6 GB und somit ist die Auslastung immer zwischen 90 & 100%

Ich bin mir nun nicht sicher ob das "normal" ist und ich überall den RAM erhöhen soll, bzw. wieso dieser Prozess soviel RAM braucht.

Ich würde mich über Inputs und Meinungen freuen, danke LG Verena
2019-04-24 10_05_58-192.168.4.143 - remotedesktopverbindung

Content-ID: 443613

Url: https://administrator.de/forum/local-security-authority-process-hohe-ram-auslastung-443613.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

GrueneSosseMitSpeck
GrueneSosseMitSpeck 25.04.2019 um 12:15:56 Uhr
Goto Top
vermutlich kriegt der Server sehr viele Loginanforderungen weil er der aktive Logonserver ist oder ist geade Opfer einer automatisierten Paßwortattacke.

Windows räumt den Arbeitsspeicher von Prozessen sonst nur auf wenn sie längere Zeit inaktiv sind, deshalb ist der hohe Speicherverbrauch wahrscheinlich nur das Symptom
bloodstix
bloodstix 25.04.2019 um 12:20:22 Uhr
Goto Top
Hallo Verena,

mehrere Gigs sollte der eigentlich nicht fressen.
Hast du schon geprüft, ob der Prozess wirklich der originale ist?
Schau mal ob das Ding wirklich in C:\Windows\System32 liegt.
Falls nicht wäre Malware warscheinlich.

Grüße
Bloody
eisshake1
eisshake1 25.04.2019 um 13:22:14 Uhr
Goto Top
HI Bloody, danke für deinen Kommentar, das hab ich schon geprüft, es ist der Originale LSASS Prozess. Und es tritt bei ausschließlich allen Servern der Root + Subdomains auf, was mich irgendwie unrund macht. LG Verena
eisshake1
eisshake1 25.04.2019 um 13:25:38 Uhr
Goto Top
Hallo GrueneSosseMitSpeck und danke für deine Antwort.
Jeder der Server bildet eine Schule ab und ich habe das Verhalten bei ausschließlich jedem Server über die Osterferien beobachtet - in der Zeit, in der es keine Loginanforderung gab (vielleicht mal eine von einem sehr fleißigem Direktor) ... Könnte es sein, dass eine automatisierte PWAttacke im gesamten Forest um sich greift bzw. wie könnte ich dem auf die Schlliche kommen?
Ich habe testweise mal versucht einem der Server mehr RAM zuzuweisen (20GB) - siehe da der Prozess nimmt sich 9GB RAM.