1
LSASS.EXE schiesst Server mit RAM Auslastung ab
Guten Montag zusammen
Heute morgen habe ich bemerkt, dass sich ein Server wohl mit Bluescreen verabschiedet und neu gestartet hat. Es handelt sich um einen Windows 2019 Server mit 64 GB RAM. Im Normalfall ist die Auslastung 42 % RAM.
Das Eventlog lief voll mit Resource-Exhaustion-Detector Einträgen. Das ist der Eintrag im Detail, bzw. der Text. Da lässt sich schon relativ gut das Problem rauslesen:
Windows hat diagnostiziert, dass der virtuelle Speicher unzureichend ist. Die folgenden Programme belegten den meisten virtuellen Speicher: lsass.exe (1016) belegt 20846821376 Bytes, dns.exe (2660) belegt 1478627328 Bytes und svchost.exe (6884) belegt 1004347392 Bytes.
Falls wichtig, virtueller Speicher wird von Windows verwaltet.
Demnach hatte LSASS.EXE sage und schreibe 20 GB belegt im Memory. Doch etwas viel wie ich finde. DNS 1.4 GB - ganz normal.
Im nachhinein frage ich mich nun natürlich, was der Auslöser war und vor allem wie ich es evtl. beim nächsten Mal loggen kann. Jetzt kann ich ja kaum noch was auslesen. Die Werte sind nun wieder allesamt normal. Ich habe anbei noch einen Screenshot von den Top 5 Prozessen im Process Explorer. Dort ist LSASS.EXE stand jetzt absolut normal und verändert sich auch nur minimal.
Laut dem grossen Internet ist ja häufig gar nicht der Server selber Schuld sondern ein Fremdrechner, der zuviele Anfragen stellt. Fixe IP ist vorhanden aber keine Ports freigegeben. Es existiert allerdings ein VPN zu einem namhaften Betrieb.
Der Server lief nun Monate reibungslos. Es wurde nichts verändert. Ich hatte nun auch plötzlich im Verdacht, dass im Remote VPN Netz etwas faul war? Auch wieder schwer zu sagen im nachhinein.
Kernfrage wäre: Kann ich ein Monitoring mitlaufen lassen, damit ich das nächste Mal sehe ob irgendein Host / Client hier am durchdrehen ist? Wie würdet ihr das angehen? Es ist ein sehr überschaubares Netz mit wenig Usern (plus minus 5 Leute).
Gruss
Chris
Edit meint noch: Ich dachte daran ein Monitoring Tool oder Script einzusetzen, welches mir eine Mail sendet wenn LSASS.EXE über 5 GB verbraucht. Dann könnte hätte ich Zeit zu agieren.
Edit 2: Gerade gesehen, dass die Uhrzeit trotz gesetztem Zeitserver auf dem Server falsch ist (8 Minuten nach). Kann auch Probleme machen, wird gleich behoben.
Heute morgen habe ich bemerkt, dass sich ein Server wohl mit Bluescreen verabschiedet und neu gestartet hat. Es handelt sich um einen Windows 2019 Server mit 64 GB RAM. Im Normalfall ist die Auslastung 42 % RAM.
Das Eventlog lief voll mit Resource-Exhaustion-Detector Einträgen. Das ist der Eintrag im Detail, bzw. der Text. Da lässt sich schon relativ gut das Problem rauslesen:
Windows hat diagnostiziert, dass der virtuelle Speicher unzureichend ist. Die folgenden Programme belegten den meisten virtuellen Speicher: lsass.exe (1016) belegt 20846821376 Bytes, dns.exe (2660) belegt 1478627328 Bytes und svchost.exe (6884) belegt 1004347392 Bytes.
Falls wichtig, virtueller Speicher wird von Windows verwaltet.
Demnach hatte LSASS.EXE sage und schreibe 20 GB belegt im Memory. Doch etwas viel wie ich finde. DNS 1.4 GB - ganz normal.
Im nachhinein frage ich mich nun natürlich, was der Auslöser war und vor allem wie ich es evtl. beim nächsten Mal loggen kann. Jetzt kann ich ja kaum noch was auslesen. Die Werte sind nun wieder allesamt normal. Ich habe anbei noch einen Screenshot von den Top 5 Prozessen im Process Explorer. Dort ist LSASS.EXE stand jetzt absolut normal und verändert sich auch nur minimal.
Laut dem grossen Internet ist ja häufig gar nicht der Server selber Schuld sondern ein Fremdrechner, der zuviele Anfragen stellt. Fixe IP ist vorhanden aber keine Ports freigegeben. Es existiert allerdings ein VPN zu einem namhaften Betrieb.
Der Server lief nun Monate reibungslos. Es wurde nichts verändert. Ich hatte nun auch plötzlich im Verdacht, dass im Remote VPN Netz etwas faul war? Auch wieder schwer zu sagen im nachhinein.
Kernfrage wäre: Kann ich ein Monitoring mitlaufen lassen, damit ich das nächste Mal sehe ob irgendein Host / Client hier am durchdrehen ist? Wie würdet ihr das angehen? Es ist ein sehr überschaubares Netz mit wenig Usern (plus minus 5 Leute).
Gruss
Chris
Edit meint noch: Ich dachte daran ein Monitoring Tool oder Script einzusetzen, welches mir eine Mail sendet wenn LSASS.EXE über 5 GB verbraucht. Dann könnte hätte ich Zeit zu agieren.
Edit 2: Gerade gesehen, dass die Uhrzeit trotz gesetztem Zeitserver auf dem Server falsch ist (8 Minuten nach). Kann auch Probleme machen, wird gleich behoben.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1508407601
Url: https://administrator.de/contentid/1508407601
Printed on: May 4, 2024 at 04:05 o'clock
1 Comment
